uliyach45/CTI-Lab2-MISP-Elastic-Integration

# CTI-Lab2-MISP-Elastic-Integration 网络威胁情报 (CTI) 实验 2 — 将 MISP 与 Elastic Stack 集成以进行 IoC 摄取，并通过 Fleet Server 在 Linux 和 Windows 端点上部署 Elastic Agent 以实现集中式日志转发。 # CTI 实验 2 — MISP 与 Elastic Stack 集成 + Elastic Agent 部署 **学生:** Uliya Fatima | **学号:** 232098 **课程:** 网络威胁情报 (CTI) | **实验:** 02 **日期:** 2026年3月6日 ## 概述 本实验记录了两个核心 CTI 平台组件的集成过程： 1. **MISP + Elastic Stack 集成** — 将来自 MISP 的威胁情报指标 摄取到 Elasticsearch/Kibana 中。 2. **Elastic Agent 部署** — 在 Linux 和 Windows 端点上安装并注册 Agent，以便通过 Fleet Server 进行集中式日志转发。 ## 实验环境 | 组件 | IP / 详情 | |-----------|-------------| | MISP 服务器 | `192.168.17.130` — 威胁情报平台 | | Elastic Stack | `192.168.17.129` — Elasticsearch, Kibana, Fleet Server | | Linux Agent 主机 | Ubuntu/Debian 虚拟机 — 转发 syslog 和 auditd | | Windows Agent 主机 | Windows 10/Server 虚拟机 — 转发 Windows 事件日志 | | 网络 | 共享内部虚拟网络（同一子网） | ## 任务 1 — MISP 与 Elastic Stack 集成 ### 目标 配置 MISP 以通过其 REST API 导出威胁指标，并使用 Kibana 的 MISP 威胁情报集成模块将其摄取到 Elasticsearch 中。 ### 步骤 **1. MISP 平台配置** - 登录 MISP Web 界面 - 导航至 **Administration → My Profile → Auth Keys** 以生成 API 密钥 - 配置威胁情报源并验证事件是否已填充 **2. Elastic Stack — 威胁情报模块** - 在 Kibana 中，转到 **Integrations** → 搜索 *MISP Threat Intelligence* - 安装并配置该模块，参数如下： - MISP URL：`http://192.168.17.130` - API 密钥（上方生成的） - 指标摄取的轮询间隔 **3. 在 Elasticsearch 中验证数据** ``` # 使用 Kibana Dev Tools 验证 MISP IoCs 已被索引 GET .ds-logs-ti_misp.threat-*/_search ``` - 导航至 **Kibana → Security → Threat Intelligence** 以查看导入的指标（IP、域名、哈希值、URL） ## 任务 2 — Elastic Agent 部署 (Linux 与 Windows) ### 目标 在 Linux 和 Windows 端点上部署 Elastic Agent，将它们注册到 Fleet Server 中，并验证向 Elasticsearch 的集中式日志转发。 ### Fleet Server 设置 - 导航至 **Kibana → Fleet → Settings** - 配置 Fleet Server 主机 URL 和 Elasticsearch 输出 - 创建包含以下集成的 Agent 策略：System, Windows, Auditd ### Linux Agent 安装 ``` # 下载 Elastic Agent curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.x.x-linux-x86_64.tar.gz tar xzvf elastic-agent-8.x.x-linux-x86_64.tar.gz cd elastic-agent-8.x.x-linux-x86_64 # 安装并注册到 Fleet sudo ./elastic-agent install \ --url=https://192.168.17.129:8220 \ --enrollment-token= ``` **验证：** - 检查服务：`sudo systemctl status elastic-agent` - 确认 Agent 在 Kibana Fleet 仪表板中显示为 **Healthy** - 在 **Kibana → Discover** 中验证 syslog 和 auditd 事件 ### Windows Agent 安装 ``` # 在 PowerShell (管理员) 中运行 $ProgressPreference = "SilentlyContinue" Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.x.x-windows-x86_64.zip -OutFile elastic-agent.zip Expand-Archive .\elastic-agent.zip -DestinationPath .\ cd elastic-agent-8.x.x-windows-x86_64 .\elastic-agent.exe install ` --url=https://192.168.17.129:8220 ` --enrollment-token= ``` **验证：** - 在 Windows 服务 (`services.msc`) 中检查 Elastic Agent 的状态 - 确认 Agent 在 Kibana Fleet 仪表板中显示为 **Healthy** - 在 **Kibana → Discover** 中验证 Windows 事件日志（Security, System, Application） ## 验证总结 | 组件 | 验证检查 | 状态 | |-----------|-----------------|--------| | MISP 平台 | Web 界面可访问，API 密钥已生成 | ✅ 通过 | | MISP → Elastic 集成 | 威胁指标已在 Elasticsearch 中建立索引 | ✅ 通过 | | Kibana 威胁情报 | MISP IoC 在威胁情报视图中可见 | ✅ 通过 | | Kibana 仪表板 | 指标可视化功能正常运行 | ✅ 通过 | | Linux Elastic Agent | Agent 已注册，Fleet 中服务状态健康 | ✅ 通过 | | Linux 日志转发 | Syslog/auditd 事件已在 Kibana 中建立索引 | ✅ 通过 | | Windows Elastic Agent | Agent 已注册，Fleet 中服务状态健康 | ✅ 通过 | | Windows 日志转发 | 事件日志 (Security/System) 已建立索引 | ✅ 通过 | ## 结论 本实验成功演示了： - 将 MISP 与 Elastic Stack 集成以实现实时威胁情报摄取 - 在 Linux 和 Windows 端点上进行 Fleet 管理的 Elastic Agent 部署 - 在 SOC 就绪环境中实现集中式日志聚合和 MISP IoC 关联 ## 参考 - [Elastic 威胁情报文档](https://www.elastic.co/guide/en/security/current/es-threat-intel-integrations.html) - [MISP 项目文档](https://www.misp-project.org/documentation/) ## 工具与技术 `MISP` `Elastic Stack` `Elasticsearch` `Kibana` `Fleet Server` `Elastic Agent` `Logstash` `Docker` `Ubuntu` `Windows` `Threat Intelligence` `SIEM` `SOC` `CTI`

标签：AMSI绕过, Elastic Agent, Elasticsearch, Elastic Stack, Fleet Server, IoC, masscan, MIT许可证, OISF, PB级数据处理, REST API, 入侵指标, 威胁情报平台, 威胁检测, 子域名变形, 安全实验室, 安全运维, 数据集成, 无线安全, 日志管理, 日志转发, 流量嗅探, 流量重放, 网络威胁情报, 网络安全, 请求拦截, 越狱测试, 隐私保护