Anshyaansh/Multi-Cloud-Security-Incident-Investigation-Report-AWS-Azure-GCP.

# 多云安全事件调查 (AWS | Azure | GCP) ## 概述 本仓库记录了一个全面的**多云安全调查项目**，涵盖 AWS、Azure 和 GCP 平台上的 **15 个真实事件场景**。 本项目的重点是展示实际的 **SOC 分析师调查工作流**，包括： * 告警理解 * 基于日志的分析 * 证据收集 * 根本原因识别 * 基于观测活动的安全推理 所有调查均附带了分析过程中收集的**实际证据（截图）**。 ## 调查范围 ### AWS 事件 (5) * S3 Bucket 删除（数据丢失） * IAM Instance Profile 滥用 * IAM Policy 修改（权限提升） * 可疑的 Lambda 执行 * 跨账户信任滥用 ### Azure 事件 (5) * LISTKEYS 活动（未授权访问尝试） * NSG 配置错误（公开暴露） * 容器枚举（侦察） * Key Vault Secret 访问（潜在数据泄露） * App Registration 凭证修改 ### GCP 事件 (5) * Bucket 数据泄露 * Service Account 模拟 * IAM Role 分配滥用 * 异常对象创建 * Service Account Key 创建 ## 项目结构 ``` AWS_INCIDENT_ANALYSIS/ AZURE_INCIDENT_ANALYSIS/ GCP_INCIDENT_ANALYSIS/ README.md ``` 每个文件夹包含： * 调查证据（截图） * 逐步分析参考资料 ## 调查方法 调查过程遵循一致的分析流程： 1. **告警识别** 理解触发告警的原因 2. **日志分析** 审查云日志（CloudTrail、Azure logs、GCP logs） 3. **活动追踪** 追踪： * 谁执行了该操作 * 执行了什么操作 * 操作来源何处 4. **行为分析** 确定活动属于： * 合法 * 可疑 * 恶意 5. **影响评估** 理解潜在风险： * 数据暴露 * 权限提升 * 持久化 * 资源滥用 6. **证据收集** 通过截图捕捉每一步的证明 ## 展示的关键技能 * 云安全监控（AWS、Azure、GCP） * 身份与访问管理 (IAM) 分析 * 权限提升技术检测 * 数据泄露调查 * 配置错误识别 * 事件分析与文档记录 * SOC 环境中的分析思维 ## 基于证据的分析 本仓库是**证据驱动**的： * 每个事件都包含**视觉证明（截图）** * 展示**实际调查步骤**，而非理论解释 * 反映** hands-on SOC 工作流** ## 后续更新 各云平台的详细文档目前正在编写中，即将添加： * AWS 事件调查报告（详细版） * Azure 事件调查报告（详细版） * GCP 事件调查报告（详细版） 这些报告将包含： * 结构化的事件分解 * 逐步调查过程 * 详细推理 * 最终结论与修复建议 ## 关键收获 * 身份是云环境中的主要攻击面 * 配置错误通常作为入口点 * 日志在正确分析时提供完整的可见性 * 微小的操作（如密钥创建或角色更改）可能导致重大入侵 ## 项目目的 本项目旨在： * 展示实际的**蓝队调查能力** * 展示对**云攻击模式**的理解 * 提供结构化、真实世界的**事件分析证据** ## 作者 Devansh Jaiswal

标签：AMSI绕过, AWS安全, Azure安全, BurpSuite集成, CloudTrail, GCP安全, IAM滥用, KeyVault, S3存储桶, SOC调查, StruQ, 云取证, 威胁检测, 安全运营中心, 服务账户冒用, 漏洞利用检测, 漏洞探索, 特权升级, 网络安全案例, 网络映射