xln777/home-soc-lab
GitHub: xln777/home-soc-lab
一个基于蜜罐的家庭安全运营中心,用于收集和分析真实攻击数据以提升防御安全技能。
Stars: 2 | Forks: 0
# 家庭安全运营中心实验室
[英文概述](README.en.md)
一个基于 Hetzner-VPS 自主运营的小型安全运营中心。该项目整合了 Cowrie 蜜罐数据、Conpot 工控系统遥测、日志分析、威胁情报丰富化和简短的事件报告。
目标并非建设生产级的企业安全运营中心,而是一个用于防御安全展示的可追溯项目组合:收集真实的攻击数据,进行分析并清晰地记录。
## 简要说明
我运营一个 SSH 蜜罐和一个工控系统/工业控制系统蜜罐,集中收集日志并使用自定义 Python 脚本进行分析。根据这些数据生成每日报告和个案研究。通过此过程,我练习典型的蓝队工作:日志理解、IOC 分析、威胁情报查询、规范记录以及防御性结论。
## 运行组件
| 组件 | 用途 |
|------------|-------|
| Cowrie SSH 蜜罐 | 收集真实的 SSH 扫描和登录尝试 |
| Conpot 工控系统/工业控制系统蜜罐 | 模拟 Modbus、S7Comm、SNMP 和 BACnet 等工业协议 |
| Grafana、Loki、Promtail | 日志聚合与仪表板展示 |
| CrowdSec | 针对可疑 IP 自动做出决策 |
| AbuseIPDB 报告 | 每日报告新的攻击者 IP |
| Restic + Backblaze B2 | 服务器备份 |
| Python 脚本 | 报告生成、IP 信息丰富化和可重复分析 |
## 仓库结构
| 路径 | 内容 |
|------|--------|
| `case-studies/` | 对单个攻击事件进行人工深度分析,按日期排序 |
| `ot-case-studies/` | 来自 Conpot 的工控系统/工业控制系统人工分析报告 |
| `reports/` | 基于 Cowrie 日志自动生成的每日报告 |
| `scripts/` | 用于报告、AbuseIPDB 和威胁情报分析的 Python 工具 |
| `CHEATSHEET.md` | 日常运维和分析的常用命令 |
| `SETUP.md` | 通用设置指南,不包含私有服务器数据 |
## 数据流
```
Internet-Scanner
-> Cowrie SSH-Honeypot + Conpot OT/ICS-Honeypot
-> JSON- und Text-Logs
-> Python-Reports
-> Threat-Intel-Anreicherung
-> Reports und Case Studies
```
## 报告
`scripts/cowrie-daily-report.py` 生成包含以下内容的 Markdown 报告:
- 攻击者 IP 排行榜
- 频繁使用的用户名/密码组合
- 蜜罐成功登录记录
- 输入的命令
- 尝试下载的恶意软件
- 工控系统/Conpot 部分,包含协议、公共源 IP 和示例事件
个人的测试 IP 地址通过 `scripts/own-ips.txt` 文件进行过滤。该文件已被故意设置为 git 忽略。在提交代码前,可以运行 `python3 scripts/privacy-scan.py` 检查是否有已记录的个人 IP 不慎出现在公开报告或仪表板导出数据中。
对于单个 IP,`scripts/case-study-evidence.py` 可生成结构化的证据概览,包含时间窗口、事件类型、客户端指纹、用户名/密码组合和示例会话。
## 威胁情报
`scripts/enrich.py ` 执行简洁的 IP 信息丰富化:
| 来源 | 结果 |
|--------|----------|
| AbuseIPDB | 声誉、报告、置信度评分 |
| ip-api.com | 地理位置、ASN、托管/代理提示 |
| WHOIS | 网络注册信息 |
| GreyNoise | 扫描器分类 |
| Shodan | 开放端口 |
| VirusTotal | 聚合声誉 |
## 案例研究
案例研究展示了学习和分析的路径:日志中可见什么,哪种模式值得注意,由此产生了什么假设,以及如何使用外部来源验证该假设。
索引文件位于此处:
- 德文:[`case-studies/README.md`](case-studies/README.md)
- 英文:[`case-studies/README.en.md`](case-studies/README.en.md)
- 工控系统/工业控制系统:[`ot-case-studies/README.md`](ot-case-studies/README.md)
新的分析将自动维护在索引文件中,以使主页保持稳定。
## 安全性
该文档是为公开的作品集编写的。示例使用占位符和通用路径,以便项目在不暴露私有运营细节的情况下保持可追溯性。
标签:Conpot蜜罐, Cowrie蜜罐, Grafana, IOC分析, OT安全, 备份策略, 威胁情报, 威胁情报增强, 威胁情报集成, 安全实验室, 安全运营中心, 工业控制系统安全, 开发者工具, 攻击数据收集, 日志聚合, 日报生成, 网络安全, 网络映射, 自动化报告, 蓝队技能, 蜜罐, 证书利用, 逆向工具, 防御性安全, 隐私保护