misetius/Siem-with-ELK-Stack

本项目的目的是通过模拟网络攻击，在实际环境中探索和测试 Elastic Stack（Elasticsearch, Logstash, Kibana）。 ## 在本设置中： ELK Stack 运行在一台笔记本电脑上，作为中央 SIEM 负责日志收集、处理和可视化 Filebeat 运行在 Raspberry Pi 上，负责收集日志数据并将其转发到 ELK Stack 攻击从一台独立的台式电脑发起，目标是 Raspberry Pi 所有执行的模拟攻击以及相应的防御措施（如果有）都记录在下方。每次攻击都有其专属的文件夹，其中包含详细的 README 文件，描述了： - 攻击场景 - 执行步骤 - 生成的日志 - 在 ELK Stack 中的检测与分析 - 映射的 MITRE ATT&CK 技术 - 可能的缓解策略 本项目展示了如何在受控的实验室环境中使用 SIEM 来检测和分析真实的攻击行为。 ## 环境 ``` ATTACK TRAFFIC +----------------------------------+ | Desktop Computer | | (Attacker Machine) | +---------------+------------------+ | | Attacks v +---------------+------------------+ | Raspberry Pi | | (Target Host) | | | | +--------------------------+ | | | Suricata IDS | | | | (Network Monitoring) | | | +--------------------------+ | | | | +--------------------------+ | | | Filebeat Agent | | | | (Log Forwarding) | | | +--------------------------+ | +---------------+------------------+ | | Logs (via Filebeat) v +---------------+------------------+ | Laptop | | (SIEM) | | | | +--------------------------+ | | | Elasticsearch | | | | (Storage & Search) | | | +--------------------------+ | | | | +--------------------------+ | | | Kibana | | | | (Dashboards & Analysis) | | | +--------------------------+ | | | +----------------------------------+ ``` ## 几点说明 - 该环境是完全隔离的，只能从私有局域网内的单台工作站进行访问。没有向公共互联网暴露任何服务。 - “攻击”是针对 Raspberry Pi 系统执行的，我的台式机通常可以通过例如 SSH 等方式正常访问该系统。 - Raspberry Pi 并未对外公开，其上运行的服务仅对局域网内的设备可用。

标签：AMSI绕过, Cloudflare, Elasticsearch, ELK Stack, Filebeat, Logstash, Metaprompt, MITRE ATT&CK, Suricata, 入侵检测系统, 内容过滤, 威胁检测, 安全可视化, 安全实验环境, 安全数据湖, 安全日志, 安全运营, 实验室, 扫描框架, 插件系统, 数据展示, 日志处理, 日志收集, 日志转发, 现代安全运营, 红队, 缓解策略, 网络安全, 网络安全审计, 网络攻击模拟, 网络攻防, 越狱测试, 隐私保护, 集中监控