AdairPonceuwu/cowrie-threat-detection-lab

GitHub: AdairPonceuwu/cowrie-threat-detection-lab

基于 Cowrie 蜜罐与 Wazuh SIEM 构建的安全检测工程实验室,用于模拟真实攻击并开发、验证威胁检测规则。

Stars: 0 | Forks: 0

# 🐝 Cowrie 威胁检测实验室 ![状态](https://img.shields.io/badge/status-In%20Progress-yellow) ![平台](https://img.shields.io/badge/platform-Ubuntu%20Server-E95420) ![SIEM](https://img.shields.io/badge/SIEM-Wazuh-blue) ![语言](https://img.shields.io/badge/Python-3.x-blue) ![许可证](https://img.shields.io/badge/license-MIT-green) # 📖 概述 本项目演示了如何使用与 **Wazuh SIEM** 集成的 Cowrie SSH/Telnet 蜜罐来构建一个**检测工程实验室**。 目标是模拟针对蜜罐的真实攻击,收集遥测数据,生成警报,开发自定义检测规则,编写 Sigma 规则,并将检测映射到 MITRE ATT&CK 框架。 本项目不仅局限于部署蜜罐,更强调完整的检测生命周期: - 攻击模拟 - 日志收集 - 检测工程 - 警报通知 - 威胁分析 - 可视化仪表板 - MITRE ATT&CK 映射 # 🎯 目标 - 部署 Cowrie SSH/Telnet 蜜罐 - 将 Cowrie 日志与 Wazuh SIEM 集成 - 开发自定义 Wazuh 解码器 - 创建自定义 Wazuh 检测规则 - 开发 Sigma 检测规则 - 将检测映射到 MITRE ATT&CK - 构建用于攻击可视化的仪表板 - 记录攻击场景和检测 # 🏗️ 架构 ``` Internet │ SSH Attackers │ Cowrie Honeypot │ JSON / Event Logs │ Wazuh Agent │ Wazuh Manager │ Wazuh Dashboard │ Dashboards • Alerts • Sigma Rules ``` # 🧰 技术 | 技术 | 用途 | |------------|---------| | Wazuh | SIEM 平台 | | Cowrie | SSH/Telnet 蜜罐 | | Ubuntu Server | 蜜罐主机 | | Python | Cowrie Runtime | | Sigma | 检测规则 | | MITRE ATT&CK | 威胁映射 | | Linux | 操作系统 | # 📂 仓库结构 ``` cowrie-threat-detection-lab/ │ ├── architecture/ │ └── diagrams │ ├── attack-scenarios/ │ ├── brute-force.md │ ├── reconnaissance.md │ ├── malware-download.md │ └── persistence.md │ ├── dashboards/ │ ├── decoders/ │ ├── docs/ │ ├── images/ │ ├── rules/ │ ├── scripts/ │ ├── sigma/ │ └── README.md ``` # 🚀 项目路线图 - [x] 部署 Wazuh SIEM - [x] 配置 Ubuntu Server - [x] 将 Ubuntu 注册为 Wazuh Agent - [ ] 安装 Cowrie - [ ] 配置 Cowrie - [ ] 将 Cowrie 与 Wazuh 集成 - [ ] 创建自定义 Wazuh 解码器 - [ ] 开发 Wazuh 检测规则 - [ ] 创建 Sigma 检测规则 - [ ] 构建安全仪表板 - [ ] 将检测映射到 MITRE ATT&CK - [ ] 记录攻击场景 # 📊 计划的仪表板 - 攻击 IP Top 排行 - 来源国家/地区 - 登录失败尝试 - 成功登录 - 最常执行的命令 - 已下载文件 - MITRE ATT&CK 技术 - 攻击时间轴 # 🔍 检测场景 本实验室将包含针对以下内容的检测: - SSH 暴力破解 - SSH 成功登录 - 系统侦察 - 凭据枚举 - 恶意软件下载 - 持久化尝试 - 反向 Shell 活动 - 文件下载 - 可疑命令执行 # 🎯 MITRE ATT&CK 覆盖范围 | 技术 | 描述 | |-----------|-------------| | T1110 | 暴力破解 | | T1059 | 命令和脚本解释器 | | T1082 | 系统信息发现 | | T1083 | 文件和目录发现 | | T1005 | 来自本地系统的数据 | | T1105 | 入口工具转移 | | T1070 | 主机上的痕迹清除 | # 📸 截图 *即将推出...* # 📚 参考资料 - Cowrie 文档 - Wazuh 文档 - Sigma 项目 - MITRE ATT&CK 框架 # 👨‍💻 作者 **Adair Ponce Luna** 网络安全 | SOC | 检测工程 | Blue Team # ⭐ 未来改进 - 集成 Suricata - 添加 Sysmon endpoint 遥测数据 - 部署 Windows endpoint - 创建自动化攻击模拟 - 实施 Threat Hunting 用例 - 扩展 Sigma 检测覆盖范围
标签:AMSI绕过, Wazuh, 威胁检测, 安全实验环境, 蜜罐, 证书利用, 逆向工具