b3-spe-vf
Science Score: 26.0%
This score indicates how likely this project is to be science-related based on various indicators:
-
○CITATION.cff file
-
✓codemeta.json file
Found codemeta.json file -
✓.zenodo.json file
Found .zenodo.json file -
○DOI references
-
○Academic publication links
-
○Academic email domains
-
○Institutional organization owner
-
○JOSS paper metadata
-
○Scientific vocabulary similarity
Low similarity (3.4%) to scientific vocabulary
Repository
Basic Info
Statistics
- Stars: 0
- Watchers: 0
- Forks: 0
- Open Issues: 0
- Releases: 0
Metadata Files
README.md
SIEM Stack - La plateforme multi-honeypot tout-en-un
![SIEM Stack]
SIEM Stack est la plateforme honeypot tout-en-un, optionnellement distribue, multi-architecture (amd64, arm64), prenant en charge plus de 20 honeypots et d'innombrables options de visualisation grce Elastic Stack, des cartes d'attaques animes en temps rel et de nombreux outils de scurit pour amliorer l'exprience de dception.
TL;DR
- Respectez les prrequis systme. L'installation de SIEM Stack ncessite au moins 8-16 Go de RAM, 128 Go d'espace disque libre ainsi qu'une connexion Internet fonctionnelle (sortante et non filtre).
- Tlchargez ou utilisez une distribution supporte dj en cours d'excution.
- Installez l'ISO avec le moins de paquets/services possible (
sshrequis) - Installez
curl:$ sudo [apt, dnf, zypper] install curlsi ce n'est pas dj fait - Lancez l'installateur en tant qu'utilisateur non-root depuis
$HOME:env bash -c "$(curl -sL https://github.com/telekom-security/tpotce/raw/master/install.sh)"- Suivez les instructions, lisez les messages, vrifiez les ventuels conflits de ports et redmarrez
- SIEM Stack - La plateforme multi-honeypot tout-en-un
- TL;DR
- Concept technique
- Prrequis systme
- Placement du systme
- Installation
- Premier dmarrage
- Accs distance et outils
- Configuration
- Maintenance
- Mises jour gnrales
- Script de mise jour
- Redmarrage quotidien
- Problmes connus
- chec du tlchargement des images Docker
- chec du rseau SIEM Stack
- Dmarrer SIEM Stack
- Arrter SIEM Stack
- Dossier de donnes SIEM Stack
- Persistance des logs
- Rinitialisation d'usine
- Afficher les conteneurs
- Blackhole
- Ajouter des utilisateurs Nginx (WebUI SIEM Stack)
- Importer et exporter des objets Kibana
- Exporter
- Importer
- Dpannage
- Contact
- Licences
- Crdits
Concept technique
Les principaux composants de SIEM Stack ont t dplacs dans l'image Docker tpotinit, permettant dsormais SIEM Stack de supporter plusieurs distributions Linux, voire macOS et Windows (bien que limits aux fonctionnalits de Docker Desktop). SIEM Stack utilise docker et docker compose pour atteindre son objectif de faire fonctionner simultanment autant de honeypots et d'outils que possible, utilisant ainsi au maximum le matriel de l'hte.
Outils
- SIEM Stack propose des images Docker pour les honeypots suivants :
adbhoney, beelzebub, ciscoasa, citrixhoneypot, conpot, cowrie, ddospot, dicompot, dionaea, elasticpot, endlessh, galah, go-pot, glutton, h0neytr4p, hellpot, heralding, honeyaml, honeypots, honeytrap, ipphoney, log4pot, mailoney, medpot, miniprint, redishoneypot, sentrypeer, snare, tanner, wordpot
Ainsi que les outils suivants : * Autoheal : redmarre automatiquement les conteneurs dont les vrifications de sant chouent. * Cyberchef : application web pour le chiffrement, l'encodage, la compression et l'analyse de donnes. * Elastic Stack : visualise magnifiquement tous les vnements capturs par SIEM Stack. * Elasticvue : interface web pour naviguer et interagir avec un cluster Elasticsearch. * Fatt : script bas sur pyshark pour extraire des mtadonnes rseau et des empreintes partir de fichiers pcap et du trafic rseau en direct. * SIEM Stack-Attack-Map : carte d'attaque anime pour SIEM Stack. * P0f : outil de fingerprinting passif du trafic rseau. * Spiderfoot : outil d'automatisation de renseignement open source. * Suricata : moteur de surveillance de la scurit rseau.
... pour vous offrir la meilleure exprience prte l'emploi possible et un systme multi-honeypot facile utiliser.
Architecture technique

Le code source et les fichiers de configuration sont entirement stocks dans le dpt GitHub de SIEM Stack. Les images Docker sont construites et prconfigures pour l'environnement SIEM Stack.
Les Dockerfiles individuels et les configurations se trouvent dans le dossier docker.
Services
SIEM Stack propose un certain nombre de services, rpartis en cinq groupes principaux :
1. Services systme fournis par l'OS
* SSH pour un accs distant scuris.
2. Elastic Stack
* Elasticsearch pour stocker les vnements.
* Logstash pour ingrer, recevoir et envoyer des vnements Elasticsearch.
* Kibana pour afficher les vnements sur de magnifiques tableaux de bord.
3. Outils
* NGINX fournit un accs distant scuris (reverse proxy) Kibana, CyberChef, Elasticvue, GeoIP AttackMap, Spiderfoot et permet aux capteurs SIEM Stack de transmettre en toute scurit les donnes d'vnements la ruche SIEM Stack.
* CyberChef : application web pour le chiffrement, l'encodage, la compression et l'analyse de donnes.
* Elasticvue : interface web pour naviguer et interagir avec un cluster Elasticsearch.
* SIEM Stack Attack Map : carte d'attaque anime pour SIEM Stack.
* Spiderfoot : outil d'automatisation de renseignement open source.
4. Honeypots
* Une slection des 23 honeypots disponibles selon le docker-compose.yml slectionn.
5. Network Security Monitoring (NSM)
* Fatt : script bas sur pyshark pour extraire des mtadonnes rseau et des empreintes partir de fichiers pcap et du trafic rseau en direct.
* P0f : outil de fingerprinting passif du trafic rseau.
* Suricata : moteur de surveillance de la scurit rseau.
Types d'utilisateurs
Lors de l'installation et de l'utilisation de SIEM Stack, il existe deux types de comptes avec lesquels vous travaillerez. Assurez-vous de bien connatre les diffrences, car c'est de loin la cause la plus frquente d'erreurs d'authentification.
| Service | Type de compte | Nom d'utilisateur / Groupe | Description |
| :--------------- | :----------- | :--------------- | :----------------------------------------------------------------- |
| SSH | OS | <OS_USERNAME> | L'utilisateur choisi lors de l'installation de l'OS. |
| Nginx | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. |
| CyberChef | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. |
| Elasticvue | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. |
| Geoip Attack Map | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. |
| Spiderfoot | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. |
| SIEM Stack | OS | tpot | tpot cet utilisateur/groupe est toujours rserv aux services SIEM Stack. |
| SIEM Stack Logs | BasicAuth | <LS_WEB_USER> | LS_WEB_USER sont grs automatiquement. |
Prrequis systme
Selon les images de distributions Linux supportes, ruche/capteur, installation sur matriel rel, en machine virtuelle ou autres environnements, diffrents prrequis doivent tre respects concernant l'OS, la RAM, le stockage et le rseau pour une installation russie de SIEM Stack (vous pouvez toujours ajuster ~/tpotce/docker-compose.yml et ~/tpotce/.env selon vos besoins pour dpasser ces exigences).
| Type SIEM Stack | RAM | Stockage | Description | | :--------- | :--- | :-------- | :----------------------------------------------------------------------------------------------- | | Hive | 16GB | 256GB SSD | En rgle gnrale, plus il y a de honeypots, capteurs & donnes, plus il faut de RAM et de stockage. | | Sensor | 8GB | 128GB SSD | Les logs des honeypots sont conservs (~/tpotce/data) pendant 30 jours, le stockage dpend donc du volume d'attaques. |
SIEM Stack ncessite ...
- une adresse IPv4 via DHCP ou assigne statiquement
- une connexion Internet fonctionnelle, non-proxyfie
... pour une installation et un fonctionnement russis.
Si vous avez besoin du support proxy ou d'autres fonctionnalits non standards, consultez la documentation des images de distributions Linux supportes et/ou la documentation Docker.
Excution en VM
Toutes les images de distributions Linux supportes fonctionneront en VM, ce qui signifie que SIEM Stack fonctionnera parfaitement. Les solutions suivantes ont t testes / signales comme fonctionnelles : * UTM (Intel & Apple Silicon) * VirtualBox * VMWare Fusion et VMWare Workstation * KVM est galement signal comme fonctionnel.
Quelques conseils de configuration / installation :
- Les versions Intel sont stables, mais le support Apple Silicon (arm64) prsente des problmes connus qui, sous UTM, peuvent ncessiter de passer l'affichage sur "Console Only" lors de l'installation initiale de l'OS puis de revenir "Full Graphics".
- Lors de la configuration, vous devrez peut-tre activer le mode promiscuit pour l'interface rseau afin que fatt, suricata et p0f fonctionnent correctement.
- Si vous souhaitez utiliser une carte wifi comme NIC principale pour SIEM Stack, sachez que tous les pilotes d'interface rseau ne prennent pas en charge toutes les cartes sans fil. Dans VirtualBox, par exemple, il faut choisir le modle "MT SERVER" pour la NIC.
Excution sur matriel physique
SIEM Stack n'est limit que par le support matriel des images de distributions Linux supportes. Il est recommand de vrifier la HCL (liste de compatibilit matrielle) et de tester les distributions supportes avec SIEM Stack avant d'investir dans du matriel ddi.
Excution dans le cloud
SIEM Stack a t test et fonctionne sur ... * Telekom OTC en utilisant la mthode post-install ... d'autres peuvent fonctionner, mais n'ont pas t tests.
Certains utilisateurs signalent des installations fonctionnelles sur d'autres clouds et hbergeurs, par exemple Azure et GCP. Les exigences matrielles peuvent tre diffrentes. En cas de doute, consultez les issues et discussions et effectuez quelques tests fonctionnels. Depuis SIEM Stack 24.04.0, nous avons supprim les paramtres connus pour interfrer avec les installations cloud.
Ports requis
En plus des ports gnralement ncessaires l'OS (DHCP, DNS, etc.), SIEM Stack ncessitera les ports suivants pour les connexions entrantes/sortantes. Consultez l'architecture SIEM Stack pour une reprsentation visuelle. Certains ports apparatront en double, ce qui est normal car utiliss dans diffrentes ditions.
| Port | Protocole | Direction | Description | | :------------------------------------------------------------------------------------------------------------------------------------ | :------- | :-------- | :-------------------------------------------------------------------------------------------------- | | 80, 443 | tcp | sortant | Gestion SIEM Stack : installation, mises jour, logs (OS, GitHub, DockerHub, Sicherheitstacho, etc.) | | 11434 | tcp | sortant | Honeypots bass LLM : accs votre installation Ollama | | 64294 | tcp | entrant | Gestion SIEM Stack : transmission des donnes capteur vers la ruche (via NGINX reverse proxy) vers 127.0.0.1:64305 | | 64295 | tcp | entrant | Gestion SIEM Stack : accs SSH | | 64297 | tcp | entrant | Gestion SIEM Stack : accs au reverse proxy NGINX | | 5555 | tcp | entrant | Honeypot : ADBHoney | | 22 | tcp | entrant | Honeypot : Beelzebub (LLM requis) | | 5000 | udp | entrant | Honeypot : CiscoASA | | 8443 | tcp | entrant | Honeypot : CiscoASA | | 443 | tcp | entrant | Honeypot : CitrixHoneypot | | 80, 102, 502, 1025, 2404, 10001, 44818, 47808, 50100 | tcp | entrant | Honeypot : Conpot | | 161, 623 | udp | entrant | Honeypot : Conpot |
Owner
- Login: wisescream
- Kind: user
- Repositories: 1
- Profile: https://github.com/wisescream
GitHub Events
Total
- Push event: 2
- Pull request event: 2
Last Year
- Push event: 2
- Pull request event: 2
Dependencies
- actions/checkout v4 composite
- actions/checkout v4 composite
- lycheeverse/lychee-action v1.9.1 composite
- actions/stale v7 composite
- alpine 3.20 build
- dtagdevsec/adbhoney 24.04
- golang 1.23-alpine build
- scratch latest build
- ghcr.io/telekom-security/beelzebub 24.04.1
- alpine 3.20 build
- dtagdevsec/ciscoasa 24.04
- alpine 3.20 build
- dtagdevsec/citrixhoneypot 24.04
- alpine 3.19 build
- dtagdevsec/conpot 24.04
- alpine 3.20 build
- ghcr.io/telekom-security/cowrie 24.04.1
- alpine 3.20 build
- dtagdevsec/ddospot 24.04
- alpine 3.15 build
- node 10.24.1-alpine3.11 build
- dtagdevsec/cyberchef 24.04
- alpine 3.11 build
- dtagdevsec/honeysap 24.04
- alpine latest build
- ghcr.io/telekom-security/nginx 1903
- alpine 3.11 build
- dtagdevsec/rdpy 24.04
- golang 1.23-alpine build
- scratch latest build
- dtagdevsec/dicompot 24.04
- ubuntu 24.04 build
- dtagdevsec/dionaea 24.04
- alpine 3.20 build
- dtagdevsec/elasticpot 24.04
- dtagdevsec/elasticsearch 24.04
- dtagdevsec/kibana 24.04
- dtagdevsec/logstash 24.04
- dtagdevsec/map 24.04
- dtagdevsec/redis 24.04
- ubuntu 24.04 build
- ghcr.io/telekom-security/elasticsearch 24.04.1
- node 20.18.2-alpine3.20 build
- ghcr.io/telekom-security/kibana 24.04.1
- ubuntu 24.04 build
- ghcr.io/telekom-security/logstash 24.04.1
- alpine 3.20 build
- dtagdevsec/map 24.04
- dtagdevsec/redis 24.04
- alpine 3.16 build
- alpine 3.20 build
- dtagdevsec/endlessh 24.04
- alpine 3.21 build
- ghcr.io/telekom-security/ewsposter 24.04.1
- alpine 3.20 build
- ghcr.io/telekom-security/fatt 24.04.1
- alpine 3.20 build
- golang 1.23-alpine build
- ghcr.io/telekom-security/galah 24.04.1
- alpine 3.20 build
- golang 1.23-alpine build
- dtagdevsec/glutton 24.04
- golang 1.23-alpine build
- scratch latest build
- dtagdevsec/go-pot 24.04
- golang 1.23-alpine build
- scratch latest build
- dtagdevsec/h0neytr4p 24.04
- golang 1.23-alpine build
- scratch latest build
- dtagdevsec/hellpot 24.04
- alpine 3.20 build
- dtagdevsec/heralding 24.04
- chainguard/wolfi-base latest build
- rust latest build
- dtagdevsec/honeyaml 24.04
- alpine 3.20 build
- dtagdevsec/honeypots 24.04
- ubuntu 22.04 build
- ghcr.io/telekom-security/honeytrap 24.04.1
- alpine 3.20 build
- dtagdevsec/ipphoney 24.04
- ubuntu 24.04 build
- ghcr.io/telekom-security/log4pot 24.04.1
- alpine 3.19 build
- dtagdevsec/mailoney 24.04
- golang 1.23-alpine build
- scratch latest build
- dtagdevsec/medpot 24.04
- alpine 3.20 build
- dtagdevsec/miniprint 24.04
- alpine 3.20 build
- node 18-alpine build
- scratch latest build
- node 22.5.1-alpine build
- scratch latest build
- ghcr.io/telekom-security/nginx 24.04.1
- alpine 3.20 build
- ghcr.io/telekom-security/p0f 24.04.1
- alpine 3.20 build
- golang 1.23-alpine build
- dtagdevsec/redishoneypot 24.04
- alpine edge build
- dtagdevsec/sentrypeer 24.04
- alpine 3.20 build
- dtagdevsec/spiderfoot 24.04
- alpine edge build
- ghcr.io/telekom-security/suricata 24.04.1
- dtagdevsec/phpox 24.04
- dtagdevsec/redis 24.04
- dtagdevsec/snare 24.04
- dtagdevsec/tanner 24.04