ot-sec-lab-dev/ot-sec-lab-dev
GitHub: ot-sec-lab-dev/ot-sec-lab-dev
基于 Docker Compose 的自托管 OT/ICS 威胁情报与事件响应实验室,通过 MISP、OpenCTI、TheHive 和 n8n 实现威胁数据全流程自动化。
Stars: 0 | Forks: 0
# OT/ICS 威胁情报实验室
这是一个自托管、基于 Docker Compose 的威胁情报和事件响应实验室,旨在演示实用的 OT/ICS 安全工作流:威胁数据收集、富化、关联和案例管理 —— 全流程自动化。
## 为什么建立这个实验室
生产环境中的大多数 OT/ICS 安全工具(TXOne Stellar、Armis Centrix 等)都运行在更广泛的威胁情报和事件响应技术栈之上。本仓库是对该技术栈的动手实践重建,旨在:
- 演示对 SOC 环境中使用的核心开源 TI/IR 工具链(MISP、OpenCTI、TheHive)的操作熟练度
- 展示通过 n8n 连接这些工具的自动化能力,而非人工分类
- 提供与关键基础设施(能源、铁路、医疗保健)安全运营相关的可复现的参考架构
## 架构
┌─────────────────┐
OSINT Feeds ─▶│ Python IOC │
(public CTI) │ Collectors │
└────────┬─────────┘
▼
┌─────────────────┐
│ MISP │ ◀── IOC sharing & tagging
└────────┬─────────┘
▼
┌─────────────────┐
│ OpenCTI │ ◀── Knowledge graph, threat actors, TTPs
└────────┬─────────┘
▼
┌─────────────────┐
│ n8n │ ◀── Automation / orchestration layer
└────────┬─────────┘
▼
┌─────────────────┐
│ TheHive │ ◀── Case management & alert triage
└─────────────────┘
## 组件
**MISP** — Malware Information Sharing Platform。用于失陷标证 (IOC) 的核心存储库,通过标记和结构化以便于共享和关联。
**OpenCTI** — 威胁情报平台,将威胁行为者、攻击活动和 TTP(MITRE ATT&CK / ATT&CK for ICS)建模为知识图谱,并从 MISP 摄取数据。
**TheHive** — 案例和告警管理。由关联情报生成的告警会升级到此处,供分析师进行分类和调查跟踪。
**n8n** — 连接上述组件的低代码自动化层:轮询 OSINT feeds,将 IOC 推送到 MISP,触发 OpenCTI 富化,并在满足关联阈值时在 TheHive 中建立案例。
**Python IOC Collectors** — 轻量级脚本,从公开的 OSINT feeds(abuse.ch、AlienVault OTX 等)拉取标证,并将其标准化以供 MISP 摄取。
## 技术栈
| 层级 | 技术 |
|---|---|
| 容器化 | Docker Compose |
| 威胁情报共享 | MISP |
| 威胁情报图谱 | OpenCTI |
| 案例管理 | TheHive |
| 自动化 | n8n |
| 搜索/日志 | Elasticsearch + Kibana |
| IOC 收集 | Python |
## 快速开始
```
git clone https://github.com/ot-sec-lab-dev/ot-sec-lab-dev.git
cd ot-sec-lab-dev
cp .env.example .env # set your own credentials/API keys
docker compose up -d
```
默认服务端口(可根据需要在 `.env` 中调整):
| 服务 | 端口 |
|---|---|
| MISP | 443 |
| OpenCTI | 8080 |
| TheHive | 9000 |
| n8n | 5678 |
| Kibana | 5601 |
## 仓库结构
ot-sec-lab-dev/
├── 01-n8n/
│ ├── docker-compose.yml
│ ├── .env.example
│ └── ioc-collector-feodo-tracker.json
├── 02-misp/
│ └── SETUP.md
├── 03-thehive/
│ └── SETUP.md
├── 04-opencti/
│ └── SETUP.md
└── README.md
## 路线图
- [x] 阶段 1:n8n — IOC 收集工作流 (Feodo Tracker / abuse.ch)
- [ ] 阶段 2:MISP — IOC 共享和标记平台
- [ ] 阶段 3:TheHive + Cortex — 案例管理和告警分类
- [ ] 阶段 4:OpenCTI — 威胁情报知识图谱
- [ ] 端到端演示:OSINT → IOC → MISP → OpenCTI → TheHive 案例
- [ ] ATT&CK for ICS 映射示例
- [ ] 用于 IOC 数量和来源明细的 Kibana dashboards
## 关于
本实验室由一名 OT/ICS 和 IoMT 安全分析师构建和维护,该分析师在使用商业平台(TXOne Stellar、Armis Centrix)保护关键基础设施环境(铁路、医疗保健)方面具有丰富的实践经验。本实验室作为该项工作的开源、供应商无关的补充。
## 许可证
MIT
标签:Docker Compose, OpenCTI, PKINIT, 威胁情报, 安全运营中心, 工控安全, 开发者工具, 版权保护, 网络映射, 自动化编排, 越狱测试, 逆向工具