nilsecc/cowrie-wazuh-soc

GitHub: nilsecc/cowrie-wazuh-soc

一个整合 Cowrie 蜜罐与 Wazuh 的自建 SOC 实验环境,用于捕获、检测和分析真实 SSH 攻击并实现自动化威胁情报富化与实时告警。

Stars: 1 | Forks: 0

# Cowrie 蜜罐 + Wazuh SOC 一个自建的 SOC,用于捕获、检测和分析真实世界中的 SSH 攻击。一台 Raspberry Pi 运行 [Cowrie](https://github.com/cowrie) 作为暴露在互联网上的 SSH 蜜罐,同时 Wazuh 技术栈(通过 Docker 部署)负责摄取日志、应用自定义检测规则、对攻击者 IP 进行地理定位,并提供集中的可视化展示。 ![Wazuh Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/cas/eb/eba8eefca589e0ecd32c3bb42c01267224718e4cf4abb4ab4bdba95ab465811f.png) ## 项目概述 攻击者扫描互联网上的开放 SSH 端口并连接到蜜罐,误以为这是一台存在漏洞的服务器。Cowrie 会记录所有对手活动。Wazuh 实时接收这些日志,使用自定义规则对其进行分类,关联诸如暴力破解等模式,将其与 MITRE ATT&CK 技术进行标记,并对源 IP 进行地理定位以获取可操作的情报。 ## 核心功能 * **蜜罐:** 在 Raspberry Pi 上独立部署并运行 Cowrie。 * **日志管理:** 将 JSON 日志自动摄取到 Wazuh Manager 中。 * **检测:** 针对特定的 Cowrie 事件(登录、命令执行、文件上传/下载、TCP 隧道)自定义检测规则,并映射到 MITRE ATT&CK。 * **情报丰富:** 自动化的 Python 脚本,用于将妥协指标 与 **AbuseIPDB** 和 **VirusTotal** 进行关联,并通过 **Telegram** 提供实时告警。 * **地理情报:** 摄取 pipeline 与 MaxMind GeoLite2 集成,实现实时的地理位置可视化。 * **仪表板:** 集中的 OpenSearch/Wazuh 仪表板,提供攻击者指标、凭据分析和交互式世界地图。 ![Wazuh Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/cas/f7/f7562bf9ff7825334a88556daeadf38bb85f16193ec030647daea324f88e6401.png) ## 仓库结构 ``` . ├── docs/ # Step-by-step deployment and configuration guides ├── images/ # Images for documentation and README ├── report/ # Detailed investigation of captured attack patterns └── scripts/ # Python automation scripts (AbuseIPDB, VirusTotal integration) ``` ## 技术栈 Cowrie, Wazuh (Manager, Indexer, Dashboard), Docker, OpenSearch, MaxMind GeoLite2, Python。 ## 文档 - [docs/deployment-cowrie.md](docs/deployment-cowrie.md):蜜罐设置、网络配置和事件参考。 - [docs/deployment-wazuh.md](docs/deployment-wazuh.md):Wazuh 安装、自定义规则工程、GeoIP 和仪表板设置。 - [report/](report/):针对蜜罐的恶意行为者的发现与分析。 *注意:在部署时,请记得替换脚本中的 API token。*
标签:Python, Wazuh, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 蜜罐, 证书利用, 请求拦截, 逆向工具