ashiq2121/Automated-Cloud-Incident-Response
GitHub: ashiq2121/Automated-Cloud-Incident-Response
一个基于 AWS 无服务器架构的自动化云事件响应系统,用于自动隔离失陷 EC2 实例并取证保存证据。
Stars: 0 | Forks: 0
# Automated-Cloud-Incident-Response
一个自动隔离并捕获被入侵 EC2 实例取证数据的无服务器系统。
这是一个用于 AWS 的事件响应自动化系统,能够:
1. 检测“被入侵”的 EC2 实例(通过模拟 GuardDuty 告警实现)。
2. 隔离该实例,阻止所有进出流量。
3. 捕获取证证据,包括对附加卷创建快照并提取元数据。
4. 将证据保存至 S3。
# 功能特性
| 功能 | 描述 |
|------|------|
| 自动遏制 | 将“ISOLATION”安全组附加到疑似实例 |
| EBS 法证 | 对附加卷创建快照 |
| 证据记录 | 将元数据(实例 ID、快照、时间戳)保存到 S3 |
| 完全无服务器 | 由 AWS Lambda 与 CloudFormation 提供支持 |
# 通用架构
# 部署
### 先决条件
- AWS 账户(支持免费层级)
- EC2 实例(测试目标)
- S3 存储桶(用于存储证据)
### 步骤
1. 启动 EC2 实例
2. 设置隔离安全组
3. 部署 CloudFormation 模板
4. 使用 Lambda 事件进行测试