ruslaniha/Cloud-Security-Project
GitHub: ruslaniha/Cloud-Security-Project
在AWS上构建的完整SOC安全运营基础设施,整合WAF防护、SIEM监控、威胁情报与事件响应工单系统。
Stars: 1 | Forks: 0
# 🛡️ 云安全项目 — SOC 基础设施
## 📋 项目概览
| 组件 | 技术 | 状态 |
|---|---|---|
| ☁️ 云服务商 | AWS EC2 + Route 53 | ✅ |
| 🔥 WAF | Nginx + ModSecurity | ✅ |
| 🌐 Web 服务器 | WordPress + Docker | ✅ |
| 📊 SIEM | Wazuh (XDR + SIEM) | ✅ |
| 🎫 工单系统 | TheHive + Cortex | ✅ |
| 🔬 威胁情报 | VirusTotal + AbuseIPDB | ✅ |
| 📧 邮件安全 | Google Workspace + SPF/DKIM/DMARC | ✅ |
| 🔒 SCA 评分 | CIS Ubuntu 22.04 Benchmark | ✅ 86% |
## 🏗️ 基础设施架构
```
Internet
│
calaris.online
(GoDaddy + Route 53)
│
┌────────▼────────┐
│ WAF Instance │
│ Nginx + ModSec │◄──── Wazuh Agent
└────────┬────────┘
│ (only WAF IP allowed)
┌────────▼────────┐
│WordPress Server │
│ Docker Compose │
└─────────────────┘
┌─────────────────┐
│ Wazuh Server │
│ (SIEM/XDR) │
└──┬──────┬───┬───┘
│ │ │
┌──────▼─┐ ┌──▼──┐ ┌▼──────────┐
│Virus │ │Abuse│ │ TheHive │
│Total │ │IPDB │ │ + Cortex │
└────────┘ └─────┘ └───────────┘
│
Gmail Alerts
```
## ✅ 需求 1 — 云环境搭建
部署了 **4 个 AWS EC2 实例**:
| 实例 | 操作系统 (OS) | 用途 |
|---|---|---|
| WAF 服务器 | Ubuntu 22.04 | Nginx + ModSecurity 反向代理 |
| Web 服务器 | Ubuntu 22.04 | 通过 Docker Compose 部署 WordPress |
| Wazuh 服务器 | Ubuntu 22.04 | SIEM + XDR |
| TheHive 服务器 | Ubuntu 22.04 | 工单系统 + Cortex |
- WordPress 使用 **Docker Compose** 部署
- ModSecurity WAF 作为 Nginx 模块安装
- 为 WAF 警报配置了自定义 **403 拦截页面**
## ✅ 需求 2 — 防火墙 & 反向代理配置
- 配置 **AWS Security Groups** 以限制 WordPress 服务器:
- 端口 80/443 **仅允许来自 WAF 实例 IP** 的访问
- 完全阻止对 WordPress 的直接公共访问
- 仅允许攻击者自己的公网 IP 进行管理
- Nginx 配置为 **反向代理** — 所有流量通过 WAF 路由
- **已测试:** XSS 注入尝试 → WAF 使用自定义 403 页面阻止 ✅
## ✅ 需求 3 — 域名、SSL & HTTPS
- 在 GoDaddy 注册域名 **calaris.online**
- 创建 **AWS Route 53** 托管区域
- 添加指向 WAF 实例 IP 的 **A 记录**
- 将 GoDaddy 域名服务器更新为 AWS NS 记录
- 通过 Certbot (Let's Encrypt) 签发 **SSL 证书**
- 在 Nginx 中配置 HTTPS 重定向
```
curl -I https://calaris.online
# HTTP/1.1 200 OK ✅
```
## ✅ 需求 4 — Wazuh 集成 + 主动响应 + SCA
### 📊 Wazuh Agent
- 在 WAF 实例上安装 Wazuh Agent
- 通过端口 **1514 TCP/UDP** 连接到 Wazuh Server
- 日志在 **Threat Hunting** 仪表板中可见
### 🦠 VirusTotal 集成
- 在 `ossec.conf` 中配置 API 密钥
- 通过 `agent.conf` 启用 **FIM (文件完整性监控)**
- **测试:** 投放 EICAR 恶意软件文件 → 被 Wazuh 检测到 →
VirusTotal 报告 **62/68 引擎** 标记为恶意 ✅
- **主动响应:** 恶意文件 **自动删除** ✅
### 🚫 AbuseIPDB 集成
- 部署自定义 Python 脚本 `custom-abuseipdb.py`
- 向 `local_rules.xml` 添加自定义规则
- **测试:** 来自 IP `139.59.93.213` 的 SSH 暴力破解 →
AbuseIPDB 返回 **100% 滥用置信度** (ISP: DigitalOcean) ✅
### 🔥 主动响应 — IP 自动封锁
为 Web 攻击规则配置了 `firewall-drop` 主动响应:
| 规则 ID | 触发条件 |
|---|---|
| 31103 | SQL 注入 |
| 31104 | 常见 Web 攻击 |
| 31105 | XSS 尝试 |
| 31106 | Web 攻击 (200 响应) |
| 31171 | 通用 Web 攻击 |
- **测试:** 对 calaris.online 进行 XSS 攻击 →
攻击者 IP 被防火墙 **自动封禁** ✅
- Wazuh 确认:`Host Blocked by firewall-drop Active Response`
### 📧 邮件集成
- **Postfix** 配置为通过 Gmail 应用专用密码 进行 SMTP 中继
- Wazuh 警报(严重级别 10+)自动发送到电子邮件
- **测试:** 恶意软件检测触发了发送到 Gmail 的电子邮件警报 ✅
### 🔒 SCA — 安全配置评估
- 通过 Wazuh 运行 **CIS Ubuntu Linux 22.04 Benchmark**
| 指标 | 之前 | 之后 |
|---|---|---|
| 评分 | 42% | **86%** ✅ |
| 失败检查项 | 103 | 25 |
主要修复:禁用 Telnet,禁用 root SSH 登录,
加固内核参数,应用 CIS 补救步骤。
## ✅ 需求 5 — TheHive 工单系统
- 通过 Docker Compose 部署 **TheHive + Elasticsearch**
- 创建组织 **CS201_Code**
- 用户:Admin + SOC Analyst
- 通过自定义 Python 脚本集成 **Wazuh → TheHive**
- **测试:** 检测到 SSH 暴力破解 → 工单在 TheHive 中自动
创建 → 分配给 SOC Analyst ✅
## ✅ 需求 6 — Cortex 分析器
- 与 TheHive 一起部署 **Cortex**
- 配置分析器:
- **VirusTotal_GetReport** — 文件/哈希分析
- **AbuseIPDB** — IP 信誉分析
- **测试:** 从 TheHive 警报运行两个分析器 →
成功返回结果 ✅
## ✅ 需求 7 — Google Workspace 邮件安全
- 使用域名 calaris.online 设置 **Google Workspace** 试用版
- 通过 Route 53 中的 **TXT 记录** 验证域名
- 添加指向 Google 邮件服务器的 **MX 记录**
- 配置完整的电子邮件身份验证:
| 记录 | 状态 |
|---|---|
| SPF | ✅ 已配置 |
| DKIM | ✅ 已配置 |
| DMARC | ✅ 已配置 |
- **通过 mail-tester.com 验证 → 评分:9/10** ✅
## 📈 最终结果
| 领域 | 结果 |
|---|---|
| WAF 防护 | ✅ 已阻止 XSS/SQLi |
| IP 自动封锁 | ✅ 主动响应生效 |
| 恶意软件检测 | ✅ 通过 VirusTotal 实时检测 |
| SCA 加固 | ✅ 42% → 86% |
| 事件响应 | ✅ TheHive 中自动生成工单 |
| Cortex 分析 | ✅ 已集成 VT + AbuseIPDB |
| 邮件安全 | ✅ SPF/DKIM/DMARC — 9/10 |
## 🛠️ 工具与技术
`AWS` `Nginx` `ModSecurity` `Docker` `WordPress`
`Wazuh` `TheHive` `Cortex` `VirusTotal` `AbuseIPDB`
`Postfix` `Google Workspace` `Certbot` `Route 53` `GoDaddy`
*Code Academy — 最终网络安全项目*
*基于 AWS 的云安全基础设施 • calaris.online*
标签:AbuseIPDB, Ask搜索, ATTACK-Python-Client, AWS, CIDR查询, CISA项目, CIS Benchmark, Cortex, DevSecOps, DKIM, DMARC, Docker, Docker Compose, DPI, EC2, EDR, GitHub Advanced Security, GoDaddy, IaC, IP 地址批量处理, meg, ModSecurity, Nginx, Route 53, SPF, SYN扫描, TheHive, VirusTotal, WAF, Wazuh, WordPress, x64dbg, 上游代理, 信息安全, 参数枚举, 反向代理, 域名解析, 威胁情报, 安全加固, 安全防御评估, 开发者工具, 文件完整性监控, 架构, 网络安全, 脆弱性评估, 自定义DNS解析器, 请求拦截, 逆向工具, 邮件安全, 防御 infra, 隐私保护