我从 github 成功安装了 MHN。在部署了几个传感器后,我观察到 MHN 的 honeymap 和攻击页面正确地注册了攻击(nmap 或登录 wordpot 或 cowrie)。然而,ELK Stack 只收集了 wordpot 和 cowrie 事件。
/opt/hpfeeds-logger/json.json 中的通道包括 suricata.events。
"host": "0.0.0.0",
"port": 10000,
"ident": "hpfeeds-logger-json",
"secret": "f4e860162e2644488d950023df055a66",
"channels": [
"amun.events",
"dionaea.connections",
"dionaea.capture",
"glastopf.events",
"beeswarm.hive",
"kippo.sessions",
"cowrie.sessions",
"conpot.events",
"snort.alerts",
"suricata.events",
"wordpot.events",
"shockpot.events",
"p0f.events",
"elastichoney.events"
],
"log_file": "/var/log/mhn/mhn-json.log",
"formatter_name": "json"
/opt/suricata/etc/suricata/suricata.yml 包含以下 hpfeeds 输出:
# hpfeeds output
- alert-hpfeeds:
enabled: yes
host: xxx.xxx.xxx.xxx # Server IP
port: 10000
ident: xxx
secret: xxx
channel: suricata.events
reconnect: yes # do we reconnect if publish fails ?!
例如 /opt/wordpot/wordpot.conf 包含以下内容:
HPFEEDS_ENABLED = True
HPFEEDS_HOST = 'xxx.xxx.xxx.xxx' # Server IP
HPFEEDS_PORT = 10000
HPFEEDS_IDENT = 'xxx'
HPFEEDS_SECRET = 'xxx'
HPFEEDS_TOPIC = 'wordpot.events'
据我了解 MHN ELK 的想法,所有输出都应该转到服务器上的文件:
/var/log/mhn/mhn-json.log
不幸的是,只有 wordpot/cowrie 事件能做到这一点。有没有办法检查 suricata.events 在前往 logstash 的途中丢失的位置?
整个事情都在父代理之后,而 mhn 服务器本身正在运行一个 squid 实例来为要安装的传感器提供父代理的代理(避免传感器直接访问互联网)。