Yusomii/Agentic-NHI
GitHub: Yusomii/Agentic-NHI
基于Go和Amazon Bedrock构建的事件驱动型AWS安全编排器,用于智能检测和处置异常机器身份行为。
Stars: 0 | Forks: 0
# Agentic-NHI Commander
一个用 Go 编写的、事件驱动的 AWS 安全编排器,利用 Amazon Bedrock 分析 CloudTrail IAM 活动,并将高风险异常路由到基于 Slack 的人机交互 (HITL) 审批工作流中。
## 🏗 架构与流程图
```
graph LR
A[AWS CloudTrail] -->|IAM Events| B(Amazon EventBridge)
B -->|Trigger Payload| C{Agentic-NHI Go Lambda}
C <-->|Analyze Telemetry| D[Amazon Bedrock Claude 3.5]
C -->|HITL Payload Diff| E((Slack Webhook))
E -->|Approve/Deny Action| F[Human SecOps]
```
### 数据流
1. **入口:** AWS CloudTrail 捕获 IAM 活动(例如 `CreateUser`、`AttachRolePolicy`)。
2. **事件路由:** Amazon EventBridge 过滤高风险事件并触发 Commander Lambda。
3. **推理引擎:** Go 二进制文件重建事件上下文,并查询 Amazon Bedrock (Claude 3.5 Sonnet) 以确定操作的恶意意图或影响范围。
4. **人机交互:** 如果 AI 判定操作异常,它会将交互式 Block Kit 负载推送到安全的 Slack 频道,以便 SecOps 立即批准或拒绝。
## 🧩 检测逻辑
异常行为由偏离预期执行基线的 IAM 活动定义。该系统结合结构化启发式规则与模型辅助分类来评估风险。
被标记的模式示例如下:
- 在批准的 CI/CD 角色之外执行的特权操作(例如 `AttachUserPolicy`、`CreateAccessKey`)
- 短时间内在多个区域进行的高频 API 调用,表明可能存在自动化侦察
- 与已知基础设施工作流无关的 IAM 角色或策略修改
Bedrock 模型用于丰富上下文并辅助分类,而最终授权决策通过人机交互 (HITL) 审批流程强制执行。
## 🛠 技术栈
* **核心应用:** Go (1.22)
* **基础设施即代码:** HashiCorp Terraform
* **云提供商:** Amazon Web Services (AWS)
* **计算与安全:** AWS Lambda, IAM (最小权限执行)
* **AI/ML:** Amazon Bedrock (Claude 3.5 Sonnet)
* **CI/CD:** GitHub Actions (零信任 OIDC 联邦)
## 🔒 安全态势与 DevSecOps
本项目遵守严格的企业安全标准:
* **零信任部署:** GitHub Actions 流水线**不**使用长期有效的 AWS Access Keys。它完全依赖 OpenID Connect (OIDC) 桥接,请求临时的短期 STS Token 用于 Terraform 部署。
* **临时计算:** Go 二进制文件在短暂的 AWS Lambda 环境中运行,这意味着没有需要修补或暴露给边缘漏洞的永久服务器。
* **最小权限 IAM:** Lambda 执行角色仅包含运行所需的精确 `bedrock:InvokeModel` 和 `logs:PutLogEvents` 权限。
* **密钥管理:** Slack OAuth Token 在运行时通过映射到 GitHub Actions 加密密钥的 Terraform 变量安全注入。
## 🚀 部署流水线
基础设施是全自动化的。推送到 `main` 分支会触发 GitHub Actions 工作流,该工作流会:
1. 配置一个 Ubuntu runner。
2. 为 `linux/arm64` 交叉编译 Go 应用程序。
3. 扮演 AWS OIDC 部署角色。
4. 执行 `terraform init` 和 `terraform apply` 以同步云端状态。
标签:Amazon Bedrock, Amazon EventBridge, CI/CD 安全, Claude 3.5, CloudTrail 监控, CSV导出, ECS, EVTX分析, Go 语言, Human-in-the-Loop (HITL), IAM 异常检测, SecOps 自动化, Serverless, Slack 机器人, Terraform, 事件驱动架构, 威胁情报, 开发者工具, 数据投毒防御, 日志审计, 机器身份管理, 权限管理, 模型越狱, 生成式 AI 安全, 网络安全, 隐私保护, 零信任安全, 非人类身份 (NHI)