jenjira090/Threat-hunting-elastic-stack

# 基于 Elastic Stack 的威胁狩猎实验室 ## 项目概述 - 状态 - 开发中 本项目使用虚拟机模拟真实的**安全运营中心 (SOC)** 环境。它演示了如何使用 Elastic Stack 和 AI 驱动的威胁狩猎层来检测和调查诸如**密码喷洒**之类的攻击。 ## 架构 ``` Attack Simulation Layer │ ├── Kali Linux (Attacker) └── Windows Server 2019 (Target) Telemetry Collection Layer │ └── Elastic Agent + Sysmon Security Analytics Platform │ └── Elastic Stack ├── Elasticsearch ├── Kibana └── Elastic Security AI Threat Hunting Layer (Planned) │ └── Python AI Agent ├── Elasticsearch API queries ├── Detection logic ├── LLM-based reasoning └── Report generation ``` ## 实验室环境 所有组件均使用以下工具部署： * VMware Workstation Pro ### 虚拟机 | 虚拟机名称 | 操作系统 | 角色 | | -------------- | ------------------- | ------------------- | | Kali-Attacker | Kali Linux | 攻击模拟 | | Windows-Target | Windows Server 2019 | 目标系统 | | Elastic-Server | Ubuntu Server | 日志记录与分析 | ## 网络配置 每台虚拟机均配置了两个网络适配器： * **NAT** → 访问互联网 * **Host-only (VMnet1)** → 实验室内部通信 ### 目的： * 实现可控的攻击模拟 * 将实验室流量与外部网络隔离 ## 初始设置 ### 1. Kali Linux (攻击机) * 导入预构建虚拟机 * 更新了系统包： ``` sudo apt update && sudo apt upgrade -y ``` * 验证了网络接口： ``` ip a ``` ### 2. Windows Server 2019 (目标机) * 安装了带 Desktop Experience 的版本 * 启用了远程桌面 * 创建了用于攻击模拟的测试用户： ``` net user user1 Password123! /add net user user2 Password123! /add net user user3 Password123! /add ``` ### 3. Ubuntu Server (Elastic Stack) * 作为监控服务器安装 * 计划组件： * Elasticsearch * Kibana * Elastic Agent ## 遥测数据收集（计划中） * 在 Windows 上安装 Sysmon * 安装 Elastic Agent * 收集内容： * 登录事件 (Event ID 4624, 4625) * 进程创建 * 网络活动 ## 攻击模拟（计划中） 从 Kali Linux 发起： * 使用以下工具进行密码喷洒： * hydra * crackmapexec 目标： * 生成身份验证失败日志 * 模拟真实攻击模式 ## 检测策略（计划中） 使用 Kibana： * 检测多次失败登录 * 识别针对多个账户的单一来源 IP * 关联身份验证事件 ## AI 威胁狩猎层（计划中） 基于 Python 的 Agent 将执行以下操作： * 查询 Elasticsearch * 识别可疑模式 * 使用 LLM 推理对攻击进行分类 * 生成调查报告 ## 快照 使用快照来维护干净的状态： * `kali-network-ready` * `kali-updated-clean` ## 后续步骤 * [ ] 安装 Elastic Stack * [ ] 在 Windows 上配置 Sysmon * [ ] 将日志摄取到 Elasticsearch * [ ] 在 Kibana 中创建检测规则 * [ ] 模拟密码喷洒攻击 * [ ] 构建基于 Python 的 AI 威胁狩猎 Agent ## ⚠️ 注意事项 * 本实验室是隔离的，仅用于教育目的 * 请勿在受控环境之外运行攻击工具 ## 学习目标 * 了解 SOC 架构 * 练习使用 Elastic Stack 进行威胁检测 * 安全地模拟真实世界的攻击 * 构建 AI 辅助的威胁狩猎工作流 ## 作者 Jenjira Punkalong ## 许可证 本项目仅供教育用途。

标签：AI安全, C2, Chat Copilot, Elasticsearch, Elastic Security, Elastic Stack, LLM推理, MIT许可证, PE 加载器, Python, Sysmon, VMware, Windows Server 2019, 人工智能代理, 威胁情报, 安全分析与可视化, 安全取证, 安全大模型, 安全调查, 安全运营中心, 密码喷射攻击, 开发者工具, 攻击模拟, 无后门, 检测规则, 流量重放, 网络安全, 网络映射, 网络资产发现, 虚拟化安全实验环境, 越狱测试, 逆向工具, 防御 evasion, 隐私保护, 驱动签名利用