uliyach45/CTI-Lab-ELK-MISP

# CTI-Lab-ELK-MISP elastic-stack elasticsearch kibana logstash misp docker threat-intelligence cybersecurity elk-stack debian ubuntu cti security-analytics # CTI 实验 1 — Elastic Stack 与 MISP 的安装 **学生：** Uliya Fatima | **学号：** 232098 **课程：** 网络威胁情报 (CTI) | **实验：** 01 ## 概述 本实验涵盖两个关键网络安全平台的安装与配置： 1. **Elastic Stack (ELK Stack)** — 部署在 Debian Linux 上，用于日志管理、监控和安全分析。 2. **MISP (Malware Information Sharing Platform)** — 通过 Docker 部署在 Ubuntu 上，用于威胁情报共享与分析。 ## 第 1 部分：Elastic Stack 的安装 ### 什么是 Elastic Stack？ Elastic Stack 是一个用于搜索、分析和可视化数据的开源平台。它由以下组件构成： - **Elasticsearch** – 搜索和分析引擎 - **Logstash** – 数据处理 pipeline - **Kibana** – 可视化和仪表盘界面 ### 系统要求 | 组件 | 要求 | |-----------|-------------| | 操作系统 | Debian Linux | | 内存 | 最低 4 GB | | 存储 | 20 GB | | 权限 | sudo/root 权限 | ### 安装步骤 ``` # 步骤 1：更新系统 sudo apt update # 步骤 2：安装依赖项 sudo apt install apt-transport-https wget gnupg -y # 步骤 3：添加 Elastic GPG key wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elastic-keyring.gpg # 步骤 4：添加 Elastic repository echo "deb [signed-by=/usr/share/keyrings/elastic-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list sudo apt update # 步骤 5：安装 Elastic Stack sudo apt install elasticsearch kibana logstash -y # 步骤 6：启动服务 sudo systemctl start elasticsearch sudo systemctl start kibana sudo systemctl start logstash # 步骤 7：设置开机自启服务 sudo systemctl enable elasticsearch sudo systemctl enable kibana sudo systemctl enable logstash ``` ### 验证 ``` # 通过 Kibana 验证码检查 Elasticsearch sudo /usr/share/kibana/bin/kibana-verification-code # 检查 Kibana 服务状态 sudo systemctl status kibana # 重置 elastic 用户密码 sudo /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic ``` 访问 Kibana：`http://localhost:5601` 使用用户名 `elastic` 和生成的密码进行登录。 ## 第 2 部分：MISP Docker 安装 ### 什么是 MISP？ MISP (Malware Information Sharing Platform) 是一个用于共享、存储和分析网络威胁情报的开源平台。Docker 部署可确保提供一致、隔离且易于管理的环境。 ### 系统要求 | 组件 | 要求 | |-----------|-------------| | 操作系统 | Ubuntu 20.04+ | | CPU | 2 核 | | 内存 | 4–8 GB | | 存储 | 20 GB | | 软件 | Docker, Docker Compose, Git | ### 安装步骤 ``` # 步骤 1：更新系统 sudo apt update # 步骤 2：安装依赖项（curl, git 等） # 步骤 3：添加 Docker GPG key # 步骤 4：添加 Docker repository # 步骤 5：安装 Docker & Docker Compose # 步骤 6：克隆 MISP Docker repo 并运行 ``` ### 验证 访问 MISP：`http://localhost` 默认凭据： - **用户名：** `admin@admin.test` - **密码：** `admin` *（首次登录后请更改）* ## 实验成果 - ✅ Elasticsearch、Logstash 和 Kibana 已在 Debian Linux 上成功安装并验证 - ✅ Kibana Web 界面可通过浏览器访问 - ✅ MISP 已通过 Docker 在 Ubuntu 上成功部署 - ✅ MISP Web 界面可正常用于威胁情报管理 ## 工具与技术 `Elastic Stack` `Elasticsearch` `Kibana` `Logstash` `MISP` `Docker` `Docker Compose` `Debian Linux` `Ubuntu` `Cybersecurity` `Threat Intelligence`

标签：Cybersecurity, Debian, Docker, Elasticsearch, Elastic Stack, ELK Stack, Linux运维, Logstash, OISF, Security Analytics, Threat Intelligence, 代码示例, 内容过滤, 威胁情报共享, 安全实验室, 安全平台部署, 安全防御评估, 恶意软件信息共享平台, 数据分析, 日志管理, 流量重放, 版权保护, 系统配置, 网络威胁情报, 网络安全, 请求拦截, 越狱测试, 隐私保护