Cybersecurity Lab

Honeypot Cowrie + Elastic SIEM

Pipeline log → Elasticsearch → Dashboard + Detection (Kibana Security). Kibana resta privata via SSH tunnel.

Repo GitHub Screenshot Architettura

Architettura

Cowrie (SSH honeypot) genera eventi strutturati
Filebeat legge cowrie.json
Logstash normalizza e indicizza su Honeypot_Cowrie
Elasticsearch indicizzazione + query
Kibana Discover/Dashboard + regole SIEM

Nota: Kibana non è esposta pubblicamente.

Cosa dimostra

Raccolta log reali da internet (attacchi automatici + scansioni)
Indicizzazione e data view Honeypot_Cowrie
Dashboard (Top IP, Top eventid, timeline)
Detection rule base (es. ripetuti login failed per IP)

Screenshot

Dashboard Cowrie — Dashboard: Top IP / Timeline eventi

Discover cowrie-* — Discover: indice Honeypot_Cowrie con campi principali

Screenshot reali dello stack Cowrie + Elastic.