AdairPonceuwu/cowrie-threat-detection-lab
GitHub: AdairPonceuwu/cowrie-threat-detection-lab
基于 Cowrie 蜜罐与 Wazuh SIEM 构建的安全检测工程实验室,用于模拟真实攻击并开发、验证威胁检测规则。
Stars: 0 | Forks: 0
# 🐝 Cowrie 威胁检测实验室





# 📖 概述
本项目演示了如何使用与 **Wazuh SIEM** 集成的 Cowrie SSH/Telnet 蜜罐来构建一个**检测工程实验室**。
目标是模拟针对蜜罐的真实攻击,收集遥测数据,生成警报,开发自定义检测规则,编写 Sigma 规则,并将检测映射到 MITRE ATT&CK 框架。
本项目不仅局限于部署蜜罐,更强调完整的检测生命周期:
- 攻击模拟
- 日志收集
- 检测工程
- 警报通知
- 威胁分析
- 可视化仪表板
- MITRE ATT&CK 映射
# 🎯 目标
- 部署 Cowrie SSH/Telnet 蜜罐
- 将 Cowrie 日志与 Wazuh SIEM 集成
- 开发自定义 Wazuh 解码器
- 创建自定义 Wazuh 检测规则
- 开发 Sigma 检测规则
- 将检测映射到 MITRE ATT&CK
- 构建用于攻击可视化的仪表板
- 记录攻击场景和检测
# 🏗️ 架构
```
Internet
│
SSH Attackers
│
Cowrie Honeypot
│
JSON / Event Logs
│
Wazuh Agent
│
Wazuh Manager
│
Wazuh Dashboard
│
Dashboards • Alerts • Sigma Rules
```
# 🧰 技术
| 技术 | 用途 |
|------------|---------|
| Wazuh | SIEM 平台 |
| Cowrie | SSH/Telnet 蜜罐 |
| Ubuntu Server | 蜜罐主机 |
| Python | Cowrie Runtime |
| Sigma | 检测规则 |
| MITRE ATT&CK | 威胁映射 |
| Linux | 操作系统 |
# 📂 仓库结构
```
cowrie-threat-detection-lab/
│
├── architecture/
│ └── diagrams
│
├── attack-scenarios/
│ ├── brute-force.md
│ ├── reconnaissance.md
│ ├── malware-download.md
│ └── persistence.md
│
├── dashboards/
│
├── decoders/
│
├── docs/
│
├── images/
│
├── rules/
│
├── scripts/
│
├── sigma/
│
└── README.md
```
# 🚀 项目路线图
- [x] 部署 Wazuh SIEM
- [x] 配置 Ubuntu Server
- [x] 将 Ubuntu 注册为 Wazuh Agent
- [ ] 安装 Cowrie
- [ ] 配置 Cowrie
- [ ] 将 Cowrie 与 Wazuh 集成
- [ ] 创建自定义 Wazuh 解码器
- [ ] 开发 Wazuh 检测规则
- [ ] 创建 Sigma 检测规则
- [ ] 构建安全仪表板
- [ ] 将检测映射到 MITRE ATT&CK
- [ ] 记录攻击场景
# 📊 计划的仪表板
- 攻击 IP Top 排行
- 来源国家/地区
- 登录失败尝试
- 成功登录
- 最常执行的命令
- 已下载文件
- MITRE ATT&CK 技术
- 攻击时间轴
# 🔍 检测场景
本实验室将包含针对以下内容的检测:
- SSH 暴力破解
- SSH 成功登录
- 系统侦察
- 凭据枚举
- 恶意软件下载
- 持久化尝试
- 反向 Shell 活动
- 文件下载
- 可疑命令执行
# 🎯 MITRE ATT&CK 覆盖范围
| 技术 | 描述 |
|-----------|-------------|
| T1110 | 暴力破解 |
| T1059 | 命令和脚本解释器 |
| T1082 | 系统信息发现 |
| T1083 | 文件和目录发现 |
| T1005 | 来自本地系统的数据 |
| T1105 | 入口工具转移 |
| T1070 | 主机上的痕迹清除 |
# 📸 截图
*即将推出...*
# 📚 参考资料
- Cowrie 文档
- Wazuh 文档
- Sigma 项目
- MITRE ATT&CK 框架
# 👨💻 作者
**Adair Ponce Luna**
网络安全 | SOC | 检测工程 | Blue Team
# ⭐ 未来改进
- 集成 Suricata
- 添加 Sysmon endpoint 遥测数据
- 部署 Windows endpoint
- 创建自动化攻击模拟
- 实施 Threat Hunting 用例
- 扩展 Sigma 检测覆盖范围
标签:AMSI绕过, Wazuh, 威胁检测, 安全实验环境, 蜜罐, 证书利用, 逆向工具