开源项目使用教程：Offensive ELK

1. 项目介绍

Offensive ELK 是一个定制的 Elasticsearch 设置，旨在展示如何将传统的“防御性”工具有效地用于进攻性安全数据分析，帮助团队协作和分类扫描结果。Elasticsearch 提供了聚合多种不同数据源的能力，并通过统一的接口进行查询，目的是从大量未分类数据中提取可操作的洞察。

2. 项目快速启动

首先，你需要克隆这个仓库到本地：

git clone https://github.com/marco-lancini/docker_offensive_elk.git

然后，创建 _data 文件夹（如果不存在），并确保它的所有权是你的用户：

cd docker_offensive_elk/
mkdir ./_data/
sudo chown -R <user>:<user> ./_data/

使用 docker-compose 启动服务堆栈：

docker-compose up -d

给 Kibana 一些时间来初始化，然后通过浏览器访问 Kibana 的 Web UI，地址是：

http://localhost:5601

3. 应用案例和最佳实践

为了能够摄入我们的 Nmap 扫描结果，我们需要将结果输出为一个 XML 格式的报告（使用 -oX 选项），这样 Elasticsearch 可以解析它。完成扫描后，将报告文件放入 _data/nmap/ 文件夹中，并运行摄入器：

docker-compose run ingestor

在第一次运行时，你需要创建一个索引。打开 Kibana（http://localhost:5601），你应该会看到一个屏幕，如下所示：

输入 nmap* 作为索引模式，并点击“下一步”。在“时间过滤器”字段名中选择“time”，然后点击“创建索引模式”。

如果一切顺利，你应该会看到一个列出 nmap* 索引中每个字段及其关联的核心类型的页面，这些信息由 Elasticsearch 记录。

4. 典型生态项目

Offensive ELK 是一个基于以下技术构建的项目：

• Docker: 用于容器化服务，如 Elasticsearch、Kibana 和 Logstash。
• Elasticsearch: 用于存储和检索数据。
• Kibana: 用于可视化 Elasticsearch 中的数据。
• Docker Compose: 用于定义和运行多容器 Docker 应用程序。
• Nmap: 网络扫描工具，用于生成 XML 格式的扫描结果。

通过这些技术的结合，Offensive ELK 提供了一个强大的平台，用于分析和处理安全相关的数据。