MiecznikH/soc-honeypot-lab

# SOC蜜罐实验室 部署在AWS上的生产级SSH蜜罐，将真实世界的攻击数据输入SIEM管道，并具有自动威胁响应功能。旨在捕获、分析和自动阻止实时攻击者。 **上线时间：** 2026-05-31 | **传感器：** 2（us-east-1，us-west-1）| **捕获攻击：** 1000+ ## 这是什么 互联网上的攻击者不断扫描暴露的SSH服务器。这个实验室允许他们连接到一个令人信服的假Linux服务器，记录他们所做的一切，丰富他们的IP地址以包含威胁情报，并自动阻止他们——所有这些都不需要人工干预。 ## 架构 ``` Internet │ ▼ EC2 t3.micro (us-east-1) EC2 t3.micro (us-west-1) Cowrie SSH Honeypot Cowrie SSH Honeypot Port 2222 Port 2222 │ │ └──────────── Wazuh Agent ──────────┘ │ ▼ EC2 m7i-flex.large (us-east-1) Wazuh 4.11.2 Manager + OpenSearch │ ┌─────────┴─────────┐ ▼ ▼ Grafana Dashboard AWS Lambda (attack visualisation) (auto-block pipeline) │ AbuseIPDB API (threat intel) │ AWS Network ACL (IP block rule) ``` ## 堆栈 | 组件 | 技术 | |---|---| | 蜜罐 | Cowrie 3.0 SSH蜜罐 | | 基础设施 | AWS EC2（Ubuntu 22.04），2个区域 | | SIEM | Wazuh 4.11.2 + OpenSearch | | 可视化 | Grafana | | 自动响应 | AWS Lambda（Python） | | 威胁情报 | AbuseIPDB API | | 网络阻止 | AWS网络ACL | ## 功能 **欺骗层** — Cowrie向攻击者展示一个令人信服的假Linux文件系统，包括逼真的bash历史记录、带有AWS凭证的假环境文件以及设计用来使服务器看起来像生产环境的部署脚本。 **自动阻止** — 当攻击者触发Wazuh警报（级别6+）时，Lambda函数在几秒钟内启动，查询AbuseIPDB以获取威胁情报，并将拒绝规则添加到网络ACL。无需人工干预。 **多传感器覆盖** — 两个蜜罐传感器位于不同的AWS区域（us-east-1和us-west-1），提供更广泛的地理覆盖范围，并允许跨区域比较攻击模式。 **MITRE ATT&CK映射** — 定制的Wazuh规则将Cowrie事件映射到ATT&CK技术（T1110暴力破解，T1078有效账户，T1190利用面向公众的应用程序）。 ## 威胁情报源（示例） | 日期 | IP | 国家 | 滥用分数 | ISP | 技术 | |---|---|---|---|---|---| | 2026-06-01 | 200.31.165.230 | SV | 37% | El Salvador Network | 暴力破解 + Shell信标 | | 2026-06-02 | 118.178.144.41 | CN | 100% | Alibaba Cloud | 静默凭证收集 | | 2026-06-02 | 8.138.219.65 | CN | 100% | Aliyun Computing | 凭证填充 | | 2026-06-02 | 20.221.56.85 | US | 100% | Microsoft Corporation | 自动扫描 | | 2026-06-02 | 47.84.140.213 | SG | 100% | Alibaba Cloud | 凭证填充 | ## 威胁分析报告 针对每个攻击者的详细分析，包括TTPs、MITRE映射、IOCs和自动响应日志： - [200.31.165.230 — 萨尔瓦多凭证填充机器人](threat-analysis-200.31.165.230.md) - [118.178.144.41 — 中国静默凭证收集器](threat-analysis-118.178.144.41.md) ## Wazuh检测规则 位于`/var/ossec/etc/rules/cowrie-rules.xml`的自定义规则： ``` cowrie.session.connect Cowrie: New connection from $(src_ip) T1190 cowrie.login.success Cowrie: Successful login from $(src_ip) T1078 cowrie.login.failed Cowrie: Failed login from $(src_ip) T1110 ``` ## Grafana仪表板 6个面板显示实时攻击数据： - 随时间变化的攻击计数 - 前10名攻击者IP - MITRE ATT&CK策略（饼图） - 尝试登录的用户名 - 攻击起源国家 - 传感器攻击（us-east-1 vs us-west-1） - 威胁情报源（CloudWatch） ## 项目状态 - ✅ Cowrie蜜罐上线 — 2个传感器（us-east-1，us-west-1） - ✅ Wazuh SIEM使用自定义解码器和规则处理Cowrie日志 - ✅ 所有警报类型的MITRE ATT&CK映射 - ✅ Lambda自动阻止管道 — Cowrie → Wazuh → Lambda → NACL - ✅ 对每个被阻止IP进行AbuseIPDB威胁情报丰富 - ✅ 包含CloudWatch威胁情报源的Grafana仪表板，6个面板 - ✅ Honeyfs欺骗层 — 假凭证、bash历史记录、部署脚本 - ✅ 2份来自真实捕获攻击的威胁分析报告 - 🔄 攻击者行为分析管道（进行中） - 🔄 活动欺骗 — 金丝雀令牌（计划中）

标签：AbuseIPDB, AWS云服务, DNS通配符暴力破解, Grafana, IP地址封锁, Lambda函数, SSH蜜罐, Wazuh, 威胁情报, 开发者工具, 攻击数据分析, 攻击数据收集, 网络安全, 网络封锁, 自动化响应, 自动化防御, 蜜罐技术, 进程注入, 隐私保护