andylimm0606/AWS-cloudsec-splunk-lab
GitHub: andylimm0606/AWS-cloudsec-splunk-lab
一个基于AWS与Splunk的云安全监控实验室,解决云日志采集、解析与可视化的实践问题。
Stars: 0 | Forks: 0
# AWS云安全监控实验室(使用Splunk)
## 概述
构建了一个小型AWS云安全实验室,用于实践云审计、网络可见性和基于SIEM的日志分析。该项目专注于保护并监控EC2实例,启用AWS原生日志记录,并将CloudTrail数据导入Splunk以使用SPL进行分析。
## 目标
- 在AWS中部署和管理Linux EC2实例
- 在主机上使用基于IAM角色的访问权限,而不是长期凭证
- 配置AWS系统管理器以进行安全的实例管理
- 启用CloudTrail以进行AWS审计日志记录
- 启用VPC流量日志以获取网络流量元数据
- 将CloudTrail日志导入Splunk并练习日志解析与分析
## 架构
```
+-------------------+ +-----------------------+
| AWS EC2 Instance | | AWS Control Plane |
| Ubuntu t3.micro | | IAM / CloudTrail |
| IAM Role attached | | VPC Flow Logs |
+---------+---------+ +-----------+-----------+
| |
| SSM Managed Node | Logs
v v
+-------------------+ +-------------------+
| AWS Systems | | S3 / CloudWatch |
| Manager (SSM) | | Log Storage |
+-------------------+ +---------+---------+
|
| Download / ingest
v
+-------------------+
| Local Splunk |
| Search & Reporting|
+-------------------+
```
标签:AWS, AWS安全管理, AWS审计, CloudTrail, CloudWatch, DPI, EC2, IaC, IAM, PB级数据处理, S3, SSM, t3.micro, VPC Flow Logs, 云日志, 安全实验室, 安全运维, 实践实验, 审计日志, 日志解析, 漏洞利用检测, 网络可见性, 证书伪造, 进程隐藏