zachncurry/BuzzyBee

# BuzzyBee ## 多节点蜜罐编排器与 Sigma 规则生成器/ Mini-SIEM（安全信息和事件管理）摄取管道 - **目标：** 生成实时威胁情报以检测新的工具和技术，并生成相应的 Sigma 补偿规则 - **客户收益：** - 零生产环境足迹：蜜罐架构与客户运营网络完全解耦。它不包含任何客户数据，不托管任何企业资产，并且不与您的活动环境共享任何身份验证路径。 - 安全区交战：威胁行为者会被无缝引流至隔离的“数字沙箱”中。这使我们能够实时观察、记录和研究活跃的攻击方法论，而不会面临数据完整性、合规态势或业务连续性方面的风险。 - 主动防御，零阻力：您的组织将获得高级实时威胁情报的所有战略优势（例如定制化的本地检测规则），而运营风险绝对为零。 - **工具：** [AWS](AWS.Amazon.com), [Wazuh](https://wazuh.com/), [GNS3](https://www.gns3.com/), [Cowrie🐝](https://www.cowrie.org/), [OpenSecOps - SOAR](https://www.opensecops.org/soar.html), [Sigma 规则](https://github.com/SigmaHQ/sigma/tree/master/rules) - **核心功能：** - 并发多蜜罐编排：同时部署和管理多个在地理位置或逻辑上不同的诱饵节点，以隔离和定位协同攻击活动。 - 实时 TPP 画像：记录并记录与 MITRE ATT&CK 框架对齐的攻击者工具、战术和程序（TTPs）。 - 自动化威胁情报：汇聚实时遥测数据，以构建动态的对手画像和行为历史记录。 - 动态 Sigma 规则生成：将捕获的攻击方法论直接转化为可用于生产环境的 Sigma 规则，以即时更新客户端的 SIEM/EDR 防御。 - **高级架构** - 陷阱：攻击者通过 GSN3 虚拟网关进入，并将目标对准多个 Cowrie 节点之一 - 收集：Cowrie 捕获会话，记录 shell 执行、源数据和恶意软件哈希 - 传输：Wazuh agent 捕获这些本地 JSON 日志，并将其流式传输到中央 Wazuh Manager - 触发与编排：Wazuh 检测到高危事件并发出告警事件。OpenSecOps 通过 GSN3 桥接器经由 AWS API Gateway/SQS Queue 摄取该调查结果 - 行动（Sigma 生成）：OpenSecOps 触发一个流水线（如 serverless 脚本），从日志中提取攻击者特定的 TTPs，并自动生成结构化的、随时可用于防御的 Sigma 规则 https://sigmahq.io/docs/basics/rules.html

标签：FTP漏洞扫描, Sigma规则, 威胁情报, 安全, 安全编排, 开发者工具, 插件系统, 漏洞利用检测, 目标导入, 蜜罐, 证书利用, 超时处理