goldrimphi-ship-it/threat-intel-siem-lab
GitHub: goldrimphi-ship-it/threat-intel-siem-lab
基于 Elastic Stack 和 MISP 构建的威胁情报 SIEM 实验室,实现 IOC 自动摄取与实时威胁检测告警的端到端蓝队工作流。
Stars: 0 | Forks: 0
# 威胁情报 SIEM 实验室
一个使用 Elastic Stack 和 MISP 威胁情报构建的家庭实验室 SIEM,展示了从 IOC 摄取到实时警报生成的端到端蓝队能力。
## 架构
```
MISP Threat Feeds (CIRCL, Abuse.ch, Botvrij.eu)
↓
Python Ingestion Script (misp_to_elastic.py)
↓
Elasticsearch (misp-iocs index, 160,000+ IOCs)
↓
Kibana Detection Rules (Indicator Match)
↓
Security Alerts Dashboard
```
## 技术栈
| 组件 | 角色 |
|-----------|------|
| MISP | 威胁情报平台 — 聚合 IOC 源 |
| Elasticsearch 8.x | SIEM 后端 — 存储日志和威胁情报 |
| Kibana | SIEM 前端 — 检测规则和警报仪表板 |
| Filebeat | 日志摄取 — 系统、身份验证和网络日志 |
| Python 3 | 自定义 ETL 脚本 — MISP → Elasticsearch pipeline |
| VirtualBox | 在 Windows 宿主机上进行 VM 托管(16GB RAM) |
## 功能特性
- **160,000+ IOCs**:从 MISP 源摄取,包括 CIRCL、Abuse.ch URLhaus、Feodo Tracker 和 Botvrij.eu
- **符合 ECS 标准**的威胁指标映射(`threat.indicator.*` 字段)
- 通过 cron 作业实现**每小时自动摄取**
- **Indicator Match 检测规则**:将实时日志与已知恶意 IP 进行关联
- 在 Kibana Security 中实现带有严重性评分和风险评分的**实时警报**
- **状态跟踪**以避免多次运行时的重复索引
## 检测规则
| 规则 | 类型 | 严重性 |
|------|------|----------|
| MISP Threat Intel - Malicious IP Match | Indicator Match | 高 |
## 支持的 IOC 类型
- IP 地址(源/目的)
- 域名和主机名
- URL
- 文件哈希(MD5、SHA1、SHA256)
- 电子邮件地址
- 文件名
## 项目结构
## 展示的核心技能
- SIEM 架构与部署
- 威胁情报平台集成(MISP)
- Elastic Common Schema (ECS) 字段映射
- 自定义 ETL pipeline 开发(Python)
- 检测工程(Indicator Match 规则)
- SOC 警报分类工作流
## 环境
- **宿主机:** Windows、VirtualBox
- **MISP VM:** Ubuntu、Apache、MySQL
- **SIEM VM:** Ubuntu 24、Elasticsearch 8.x、Kibana、Filebeat
- **RAM:** 每个 VM 8GB,Elasticsearch JVM 堆内存上限为 1GB
标签:Elastic Stack, IP 地址批量处理, PB级数据处理, 威胁情报, 安全运维, 安全运营, 开发者工具, 扫描框架, 流量重放, 网络信息收集, 越狱测试