详细安装和配置指南：docker_offensive_elk

1. 项目基础介绍

docker_offensive_elk 是一个开源项目，旨在利用 Elasticsearch 进行进攻性安全数据分析。它通过将传统的“防御性”工具转换为进攻性安全数据的应用，帮助团队更好地协作和分类扫描结果。Elasticsearch 提供了汇总多种不同数据源的能力，并通过统一的接口进行查询，从而从大量未分类数据中提取可操作的情报。

该项目主要使用 Python 编程语言，同时也使用了 Dockerfile 和 Shell 脚本。

2. 项目使用的关键技术和框架

本项目使用了以下关键技术和框架：

• Docker: 用于容器化项目中的各个组件，如 Elasticsearch、Kibana 和 Logstash。
• Elasticsearch: 一个分布式、RESTful 搜索和分析引擎，用于存储和查询大量数据。
• Kibana: 与 Elasticsearch 配合使用的数据可视化工具。
• Logstash: 用于数据收集、处理和转发。
• Nmap: 一个网络映射工具，其结果将被送入 Elasticsearch。

3. 项目安装和配置的准备工作

在开始安装之前，请确保以下准备工作已完成：

• 确保你的系统中已安装 Docker。
• 准备好你的 Nmap XML 格式的扫描结果文件。

详细安装步骤

1. 克隆项目仓库

   在命令行中执行以下命令，克隆项目到本地：

   git clone https://github.com/marco-lancini/docker_offensive_elk.git
   

2. 创建数据文件夹

   切换到项目目录，并创建 _data 文件夹：

   cd docker_offensive_elk/
   mkdir ./_data/
   

   确保 _data 文件夹由你的用户拥有：

   sudo chown -R <user>:<user> ./_data/
   

   （将 <user> 替换为你的用户名）

3. 启动项目

   使用 docker-compose 启动整个栈：

   docker-compose up -d
   

   -d 参数表示以守护进程模式运行。

4. 等待初始化

   给 Kibana 一些时间来初始化。之后，你可以通过浏览器访问 Kibana 的 Web UI：

   http://localhost:5601
   

5. 创建索引

   在 Kibana 中创建一个索引模式。使用 nmap* 作为索引模式，选择相应的时间过滤字段，然后创建索引模式。

6. 启动数据摄入

   将你的 Nmap XML 结果文件放入 _data/nmap/ 文件夹中，然后运行数据摄入器：

   docker-compose run ingestor
   

   这将处理 XML 文件并将数据发送到 Elasticsearch。

完成以上步骤后，你的 docker_offensive_elk 应该已经成功安装并配置完毕，可以开始进行安全数据分析工作了。