nilsecc/cowrie-wazuh-soc
GitHub: nilsecc/cowrie-wazuh-soc
一个整合 Cowrie 蜜罐与 Wazuh 的自建 SOC 实验环境,用于捕获、检测和分析真实 SSH 攻击并实现自动化威胁情报富化与实时告警。
Stars: 1 | Forks: 0
# Cowrie 蜜罐 + Wazuh SOC
一个自建的 SOC,用于捕获、检测和分析真实世界中的 SSH 攻击。一台 Raspberry Pi 运行 [Cowrie](https://github.com/cowrie) 作为暴露在互联网上的 SSH 蜜罐,同时 Wazuh 技术栈(通过 Docker 部署)负责摄取日志、应用自定义检测规则、对攻击者 IP 进行地理定位,并提供集中的可视化展示。

## 项目概述
攻击者扫描互联网上的开放 SSH 端口并连接到蜜罐,误以为这是一台存在漏洞的服务器。Cowrie 会记录所有对手活动。Wazuh 实时接收这些日志,使用自定义规则对其进行分类,关联诸如暴力破解等模式,将其与 MITRE ATT&CK 技术进行标记,并对源 IP 进行地理定位以获取可操作的情报。
## 核心功能
* **蜜罐:** 在 Raspberry Pi 上独立部署并运行 Cowrie。
* **日志管理:** 将 JSON 日志自动摄取到 Wazuh Manager 中。
* **检测:** 针对特定的 Cowrie 事件(登录、命令执行、文件上传/下载、TCP 隧道)自定义检测规则,并映射到 MITRE ATT&CK。
* **情报丰富:** 自动化的 Python 脚本,用于将妥协指标 与 **AbuseIPDB** 和 **VirusTotal** 进行关联,并通过 **Telegram** 提供实时告警。
* **地理情报:** 摄取 pipeline 与 MaxMind GeoLite2 集成,实现实时的地理位置可视化。
* **仪表板:** 集中的 OpenSearch/Wazuh 仪表板,提供攻击者指标、凭据分析和交互式世界地图。

## 仓库结构
```
.
├── docs/ # Step-by-step deployment and configuration guides
├── images/ # Images for documentation and README
├── report/ # Detailed investigation of captured attack patterns
└── scripts/ # Python automation scripts (AbuseIPDB, VirusTotal integration)
```
## 技术栈
Cowrie, Wazuh (Manager, Indexer, Dashboard), Docker, OpenSearch, MaxMind GeoLite2, Python。
## 文档
- [docs/deployment-cowrie.md](docs/deployment-cowrie.md):蜜罐设置、网络配置和事件参考。
- [docs/deployment-wazuh.md](docs/deployment-wazuh.md):Wazuh 安装、自定义规则工程、GeoIP 和仪表板设置。
- [report/](report/):针对蜜罐的恶意行为者的发现与分析。
*注意:在部署时,请记得替换脚本中的 API token。*
标签:Python, Wazuh, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 蜜罐, 证书利用, 请求拦截, 逆向工具