Science Score: 26.0%

This score indicates how likely this project is to be science-related based on various indicators:

  • CITATION.cff file
  • codemeta.json file
    Found codemeta.json file
  • .zenodo.json file
    Found .zenodo.json file
  • DOI references
  • Academic publication links
  • Academic email domains
  • Institutional organization owner
  • JOSS paper metadata
  • Scientific vocabulary similarity
    Low similarity (3.4%) to scientific vocabulary
Last synced: 10 months ago · JSON representation

Repository

Basic Info
  • Host: GitHub
  • Owner: wisescream
  • License: gpl-3.0
  • Language: C
  • Default Branch: master
  • Homepage:
  • Size: 319 MB
Statistics
  • Stars: 0
  • Watchers: 0
  • Forks: 0
  • Open Issues: 0
  • Releases: 0
Created about 1 year ago · Last pushed about 1 year ago
Metadata Files
Readme Changelog License Citation Security

README.md

SIEM Stack - La plateforme multi-honeypot tout-en-un

![SIEM Stack] SIEM Stack est la plateforme honeypot tout-en-un, optionnellement distribue, multi-architecture (amd64, arm64), prenant en charge plus de 20 honeypots et d'innombrables options de visualisation grce Elastic Stack, des cartes d'attaques animes en temps rel et de nombreux outils de scurit pour amliorer l'exprience de dception.

TL;DR

  1. Respectez les prrequis systme. L'installation de SIEM Stack ncessite au moins 8-16 Go de RAM, 128 Go d'espace disque libre ainsi qu'une connexion Internet fonctionnelle (sortante et non filtre).
  2. Tlchargez ou utilisez une distribution supporte dj en cours d'excution.
  3. Installez l'ISO avec le moins de paquets/services possible (ssh requis)
  4. Installez curl : $ sudo [apt, dnf, zypper] install curl si ce n'est pas dj fait
  5. Lancez l'installateur en tant qu'utilisateur non-root depuis $HOME : env bash -c "$(curl -sL https://github.com/telekom-security/tpotce/raw/master/install.sh)"
    • Suivez les instructions, lisez les messages, vrifiez les ventuels conflits de ports et redmarrez

Concept technique

Les principaux composants de SIEM Stack ont t dplacs dans l'image Docker tpotinit, permettant dsormais SIEM Stack de supporter plusieurs distributions Linux, voire macOS et Windows (bien que limits aux fonctionnalits de Docker Desktop). SIEM Stack utilise docker et docker compose pour atteindre son objectif de faire fonctionner simultanment autant de honeypots et d'outils que possible, utilisant ainsi au maximum le matriel de l'hte.

Outils

Ainsi que les outils suivants : * Autoheal : redmarre automatiquement les conteneurs dont les vrifications de sant chouent. * Cyberchef : application web pour le chiffrement, l'encodage, la compression et l'analyse de donnes. * Elastic Stack : visualise magnifiquement tous les vnements capturs par SIEM Stack. * Elasticvue : interface web pour naviguer et interagir avec un cluster Elasticsearch. * Fatt : script bas sur pyshark pour extraire des mtadonnes rseau et des empreintes partir de fichiers pcap et du trafic rseau en direct. * SIEM Stack-Attack-Map : carte d'attaque anime pour SIEM Stack. * P0f : outil de fingerprinting passif du trafic rseau. * Spiderfoot : outil d'automatisation de renseignement open source. * Suricata : moteur de surveillance de la scurit rseau.

... pour vous offrir la meilleure exprience prte l'emploi possible et un systme multi-honeypot facile utiliser.

Architecture technique

Architecture

Le code source et les fichiers de configuration sont entirement stocks dans le dpt GitHub de SIEM Stack. Les images Docker sont construites et prconfigures pour l'environnement SIEM Stack.

Les Dockerfiles individuels et les configurations se trouvent dans le dossier docker.

Services

SIEM Stack propose un certain nombre de services, rpartis en cinq groupes principaux : 1. Services systme fournis par l'OS * SSH pour un accs distant scuris. 2. Elastic Stack * Elasticsearch pour stocker les vnements. * Logstash pour ingrer, recevoir et envoyer des vnements Elasticsearch. * Kibana pour afficher les vnements sur de magnifiques tableaux de bord. 3. Outils * NGINX fournit un accs distant scuris (reverse proxy) Kibana, CyberChef, Elasticvue, GeoIP AttackMap, Spiderfoot et permet aux capteurs SIEM Stack de transmettre en toute scurit les donnes d'vnements la ruche SIEM Stack. * CyberChef : application web pour le chiffrement, l'encodage, la compression et l'analyse de donnes. * Elasticvue : interface web pour naviguer et interagir avec un cluster Elasticsearch. * SIEM Stack Attack Map : carte d'attaque anime pour SIEM Stack. * Spiderfoot : outil d'automatisation de renseignement open source. 4. Honeypots * Une slection des 23 honeypots disponibles selon le docker-compose.yml slectionn. 5. Network Security Monitoring (NSM) * Fatt : script bas sur pyshark pour extraire des mtadonnes rseau et des empreintes partir de fichiers pcap et du trafic rseau en direct. * P0f : outil de fingerprinting passif du trafic rseau. * Suricata : moteur de surveillance de la scurit rseau.

Types d'utilisateurs

Lors de l'installation et de l'utilisation de SIEM Stack, il existe deux types de comptes avec lesquels vous travaillerez. Assurez-vous de bien connatre les diffrences, car c'est de loin la cause la plus frquente d'erreurs d'authentification.

| Service | Type de compte | Nom d'utilisateur / Groupe | Description | | :--------------- | :----------- | :--------------- | :----------------------------------------------------------------- | | SSH | OS | <OS_USERNAME> | L'utilisateur choisi lors de l'installation de l'OS. | | Nginx | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. | | CyberChef | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. | | Elasticvue | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. | | Geoip Attack Map | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. | | Spiderfoot | BasicAuth | <WEB_USER> | <web_user> choisi lors de l'installation de SIEM Stack. | | SIEM Stack | OS | tpot | tpot cet utilisateur/groupe est toujours rserv aux services SIEM Stack. | | SIEM Stack Logs | BasicAuth | <LS_WEB_USER> | LS_WEB_USER sont grs automatiquement. |



Prrequis systme

Selon les images de distributions Linux supportes, ruche/capteur, installation sur matriel rel, en machine virtuelle ou autres environnements, diffrents prrequis doivent tre respects concernant l'OS, la RAM, le stockage et le rseau pour une installation russie de SIEM Stack (vous pouvez toujours ajuster ~/tpotce/docker-compose.yml et ~/tpotce/.env selon vos besoins pour dpasser ces exigences).

| Type SIEM Stack | RAM | Stockage | Description | | :--------- | :--- | :-------- | :----------------------------------------------------------------------------------------------- | | Hive | 16GB | 256GB SSD | En rgle gnrale, plus il y a de honeypots, capteurs & donnes, plus il faut de RAM et de stockage. | | Sensor | 8GB | 128GB SSD | Les logs des honeypots sont conservs (~/tpotce/data) pendant 30 jours, le stockage dpend donc du volume d'attaques. |

SIEM Stack ncessite ... - une adresse IPv4 via DHCP ou assigne statiquement - une connexion Internet fonctionnelle, non-proxyfie ... pour une installation et un fonctionnement russis.

Si vous avez besoin du support proxy ou d'autres fonctionnalits non standards, consultez la documentation des images de distributions Linux supportes et/ou la documentation Docker.

Excution en VM

Toutes les images de distributions Linux supportes fonctionneront en VM, ce qui signifie que SIEM Stack fonctionnera parfaitement. Les solutions suivantes ont t testes / signales comme fonctionnelles : * UTM (Intel & Apple Silicon) * VirtualBox * VMWare Fusion et VMWare Workstation * KVM est galement signal comme fonctionnel.

Quelques conseils de configuration / installation : - Les versions Intel sont stables, mais le support Apple Silicon (arm64) prsente des problmes connus qui, sous UTM, peuvent ncessiter de passer l'affichage sur "Console Only" lors de l'installation initiale de l'OS puis de revenir "Full Graphics". - Lors de la configuration, vous devrez peut-tre activer le mode promiscuit pour l'interface rseau afin que fatt, suricata et p0f fonctionnent correctement. - Si vous souhaitez utiliser une carte wifi comme NIC principale pour SIEM Stack, sachez que tous les pilotes d'interface rseau ne prennent pas en charge toutes les cartes sans fil. Dans VirtualBox, par exemple, il faut choisir le modle "MT SERVER" pour la NIC.

Excution sur matriel physique

SIEM Stack n'est limit que par le support matriel des images de distributions Linux supportes. Il est recommand de vrifier la HCL (liste de compatibilit matrielle) et de tester les distributions supportes avec SIEM Stack avant d'investir dans du matriel ddi.

Excution dans le cloud

SIEM Stack a t test et fonctionne sur ... * Telekom OTC en utilisant la mthode post-install ... d'autres peuvent fonctionner, mais n'ont pas t tests.

Certains utilisateurs signalent des installations fonctionnelles sur d'autres clouds et hbergeurs, par exemple Azure et GCP. Les exigences matrielles peuvent tre diffrentes. En cas de doute, consultez les issues et discussions et effectuez quelques tests fonctionnels. Depuis SIEM Stack 24.04.0, nous avons supprim les paramtres connus pour interfrer avec les installations cloud.

Ports requis

En plus des ports gnralement ncessaires l'OS (DHCP, DNS, etc.), SIEM Stack ncessitera les ports suivants pour les connexions entrantes/sortantes. Consultez l'architecture SIEM Stack pour une reprsentation visuelle. Certains ports apparatront en double, ce qui est normal car utiliss dans diffrentes ditions.

| Port | Protocole | Direction | Description | | :------------------------------------------------------------------------------------------------------------------------------------ | :------- | :-------- | :-------------------------------------------------------------------------------------------------- | | 80, 443 | tcp | sortant | Gestion SIEM Stack : installation, mises jour, logs (OS, GitHub, DockerHub, Sicherheitstacho, etc.) | | 11434 | tcp | sortant | Honeypots bass LLM : accs votre installation Ollama | | 64294 | tcp | entrant | Gestion SIEM Stack : transmission des donnes capteur vers la ruche (via NGINX reverse proxy) vers 127.0.0.1:64305 | | 64295 | tcp | entrant | Gestion SIEM Stack : accs SSH | | 64297 | tcp | entrant | Gestion SIEM Stack : accs au reverse proxy NGINX | | 5555 | tcp | entrant | Honeypot : ADBHoney | | 22 | tcp | entrant | Honeypot : Beelzebub (LLM requis) | | 5000 | udp | entrant | Honeypot : CiscoASA | | 8443 | tcp | entrant | Honeypot : CiscoASA | | 443 | tcp | entrant | Honeypot : CitrixHoneypot | | 80, 102, 502, 1025, 2404, 10001, 44818, 47808, 50100 | tcp | entrant | Honeypot : Conpot | | 161, 623 | udp | entrant | Honeypot : Conpot |

Owner

  • Login: wisescream
  • Kind: user

GitHub Events

Total
  • Push event: 2
  • Pull request event: 2
Last Year
  • Push event: 2
  • Pull request event: 2

Dependencies

.github/workflows/basic-support-info.yml actions
  • actions/checkout v4 composite
.github/workflows/main.yml actions
  • actions/checkout v4 composite
  • lycheeverse/lychee-action v1.9.1 composite
.github/workflows/stale.yml actions
  • actions/stale v7 composite
docker/tanner/snare/dist/pages/1/meta.json cpan
docker/tanner/snare/dist/pages/10/meta.json cpan
docker/tanner/snare/dist/pages/2/meta.json cpan
docker/tanner/snare/dist/pages/3/meta.json cpan
docker/tanner/snare/dist/pages/4/meta.json cpan
docker/tanner/snare/dist/pages/5/meta.json cpan
docker/tanner/snare/dist/pages/6/meta.json cpan
docker/tanner/snare/dist/pages/7/meta.json cpan
docker/tanner/snare/dist/pages/8/meta.json cpan
docker/tanner/snare/dist/pages/9/meta.json cpan
docker/_builder/docker-compose.yml docker
docker/adbhoney/Dockerfile docker
  • alpine 3.20 build
docker/adbhoney/docker-compose.yml docker
  • dtagdevsec/adbhoney 24.04
docker/beelzebub/Dockerfile docker
  • golang 1.23-alpine build
  • scratch latest build
docker/beelzebub/docker-compose.yml docker
  • ghcr.io/telekom-security/beelzebub 24.04.1
docker/ciscoasa/Dockerfile docker
  • alpine 3.20 build
docker/ciscoasa/docker-compose.yml docker
  • dtagdevsec/ciscoasa 24.04
docker/citrixhoneypot/Dockerfile docker
  • alpine 3.20 build
docker/citrixhoneypot/docker-compose.yml docker
  • dtagdevsec/citrixhoneypot 24.04
docker/conpot/Dockerfile docker
  • alpine 3.19 build
docker/conpot/docker-compose.yml docker
  • dtagdevsec/conpot 24.04
docker/cowrie/Dockerfile docker
  • alpine 3.20 build
docker/cowrie/docker-compose.yml docker
  • ghcr.io/telekom-security/cowrie 24.04.1
docker/ddospot/Dockerfile docker
  • alpine 3.20 build
docker/ddospot/docker-compose.yml docker
  • dtagdevsec/ddospot 24.04
docker/deprecated/cyberchef/Dockerfile docker
  • alpine 3.15 build
  • node 10.24.1-alpine3.11 build
docker/deprecated/cyberchef/docker-compose.yml docker
  • dtagdevsec/cyberchef 24.04
docker/deprecated/honeysap/Dockerfile docker
  • alpine 3.11 build
docker/deprecated/honeysap/docker-compose.yml docker
  • dtagdevsec/honeysap 24.04
docker/deprecated/nginx/Dockerfile docker
  • alpine latest build
docker/deprecated/nginx/docker-compose.yml docker
  • ghcr.io/telekom-security/nginx 1903
docker/deprecated/rdpy/Dockerfile docker
  • alpine 3.11 build
docker/deprecated/rdpy/docker-compose.yml docker
  • dtagdevsec/rdpy 24.04
docker/dicompot/Dockerfile docker
  • golang 1.23-alpine build
  • scratch latest build
docker/dicompot/docker-compose.yml docker
  • dtagdevsec/dicompot 24.04
docker/dionaea/Dockerfile docker
  • ubuntu 24.04 build
docker/dionaea/docker-compose.yml docker
  • dtagdevsec/dionaea 24.04
docker/elasticpot/Dockerfile docker
  • alpine 3.20 build
docker/elasticpot/docker-compose.yml docker
  • dtagdevsec/elasticpot 24.04
docker/elk/docker-compose.yml docker
  • dtagdevsec/elasticsearch 24.04
  • dtagdevsec/kibana 24.04
  • dtagdevsec/logstash 24.04
  • dtagdevsec/map 24.04
  • dtagdevsec/redis 24.04
docker/elk/elasticsearch/Dockerfile docker
  • ubuntu 24.04 build
docker/elk/elasticsearch/docker-compose.yml docker
  • ghcr.io/telekom-security/elasticsearch 24.04.1
docker/elk/kibana/Dockerfile docker
  • node 20.18.2-alpine3.20 build
docker/elk/kibana/docker-compose.yml docker
  • ghcr.io/telekom-security/kibana 24.04.1
docker/elk/logstash/Dockerfile docker
  • ubuntu 24.04 build
docker/elk/logstash/docker-compose.yml docker
  • ghcr.io/telekom-security/logstash 24.04.1
docker/elk/map/Dockerfile docker
  • alpine 3.20 build
docker/elk/map/docker-compose.yml docker
  • dtagdevsec/map 24.04
  • dtagdevsec/redis 24.04
docker/endlessh/Dockerfile docker
  • alpine 3.16 build
  • alpine 3.20 build
docker/endlessh/docker-compose.yml docker
  • dtagdevsec/endlessh 24.04
docker/ewsposter/Dockerfile docker
  • alpine 3.21 build
docker/ewsposter/docker-compose.yml docker
  • ghcr.io/telekom-security/ewsposter 24.04.1
docker/fatt/Dockerfile docker
  • alpine 3.20 build
docker/fatt/docker-compose.yml docker
  • ghcr.io/telekom-security/fatt 24.04.1
docker/galah/Dockerfile docker
  • alpine 3.20 build
  • golang 1.23-alpine build
docker/galah/docker-compose.yml docker
  • ghcr.io/telekom-security/galah 24.04.1
docker/glutton/Dockerfile docker
  • alpine 3.20 build
  • golang 1.23-alpine build
docker/glutton/docker-compose.yml docker
  • dtagdevsec/glutton 24.04
docker/go-pot/Dockerfile docker
  • golang 1.23-alpine build
  • scratch latest build
docker/go-pot/docker-compose.yml docker
  • dtagdevsec/go-pot 24.04
docker/h0neytr4p/Dockerfile docker
  • golang 1.23-alpine build
  • scratch latest build
docker/h0neytr4p/docker-compose.yml docker
  • dtagdevsec/h0neytr4p 24.04
docker/hellpot/Dockerfile docker
  • golang 1.23-alpine build
  • scratch latest build
docker/hellpot/docker-compose.yml docker
  • dtagdevsec/hellpot 24.04
docker/heralding/Dockerfile docker
  • alpine 3.20 build
docker/heralding/docker-compose.yml docker
  • dtagdevsec/heralding 24.04
docker/honeyaml/Dockerfile docker
  • chainguard/wolfi-base latest build
  • rust latest build
docker/honeyaml/docker-compose.yml docker
  • dtagdevsec/honeyaml 24.04
docker/honeypots/Dockerfile docker
  • alpine 3.20 build
docker/honeypots/docker-compose.yml docker
  • dtagdevsec/honeypots 24.04
docker/honeytrap/Dockerfile docker
  • ubuntu 22.04 build
docker/honeytrap/docker-compose.yml docker
  • ghcr.io/telekom-security/honeytrap 24.04.1
docker/ipphoney/Dockerfile docker
  • alpine 3.20 build
docker/ipphoney/docker-compose.yml docker
  • dtagdevsec/ipphoney 24.04
docker/log4pot/Dockerfile docker
  • ubuntu 24.04 build
docker/log4pot/docker-compose.yml docker
  • ghcr.io/telekom-security/log4pot 24.04.1
docker/mailoney/Dockerfile docker
  • alpine 3.19 build
docker/mailoney/docker-compose.yml docker
  • dtagdevsec/mailoney 24.04
docker/medpot/Dockerfile docker
  • golang 1.23-alpine build
  • scratch latest build
docker/medpot/docker-compose.yml docker
  • dtagdevsec/medpot 24.04
docker/miniprint/Dockerfile docker
  • alpine 3.20 build
docker/miniprint/docker-compose.yml docker
  • dtagdevsec/miniprint 24.04
docker/nginx/Dockerfile docker
  • alpine 3.20 build
docker/nginx/builder/cyberchef/Dockerfile docker
  • node 18-alpine build
  • scratch latest build
docker/nginx/builder/esvue/Dockerfile docker
  • node 22.5.1-alpine build
  • scratch latest build
docker/nginx/docker-compose.yml docker
  • ghcr.io/telekom-security/nginx 24.04.1
docker/p0f/Dockerfile docker
  • alpine 3.20 build
docker/p0f/docker-compose.yml docker
  • ghcr.io/telekom-security/p0f 24.04.1
docker/redishoneypot/Dockerfile docker
  • alpine 3.20 build
  • golang 1.23-alpine build
docker/redishoneypot/docker-compose.yml docker
  • dtagdevsec/redishoneypot 24.04
docker/sentrypeer/Dockerfile docker
  • alpine edge build
docker/sentrypeer/docker-compose.yml docker
  • dtagdevsec/sentrypeer 24.04
docker/spiderfoot/Dockerfile docker
  • alpine 3.20 build
docker/spiderfoot/docker-compose.yml docker
  • dtagdevsec/spiderfoot 24.04
docker/suricata/Dockerfile docker
  • alpine edge build
docker/suricata/docker-compose.yml docker
  • ghcr.io/telekom-security/suricata 24.04.1
docker/tanner/docker-compose.yml docker
  • dtagdevsec/phpox 24.04
  • dtagdevsec/redis 24.04
  • dtagdevsec/snare 24.04
  • dtagdevsec/tanner 24.04