gpamarthy/sentinel-forge

# Sentinel Forge [](https://opensource.org/licenses/MIT) [](https://www.python.org/downloads/) [](https://github.com/astral-sh/ruff) **防御性 AWS 云检测与响应实验室** Sentinel Forge 是一个高保真的检测工程框架，旨在摄取、规范化和分析 AWS 原生安全遥测数据。它将原始的 CloudTrail、GuardDuty 和 Security Hub 日志转化为可操作的、证据丰富的发现，为安全分析师提供结构化的事件时间线和明确的分类指导。 ## ⚠️ 免责声明 本工具仅用于教育和授权的安全监控目的。作者不对任何滥用行为或在部署本工具的环境中发生的任何安全事件承担责任。 ## 功能 - **标准化事件模型**：将多种 AWS 日志源规范化为统一的 schema，以实现一致的分析。 - **基于 YAML 的检测引擎**：将检测逻辑与代码解耦，支持快速开发和调整规则。 - **有状态持久化**：利用 SQLite 后端跟踪多次运行中的规范化事件和发现。 - **证据丰富的报告**：生成带有分组时间线的分析师事件报告和管理层摘要。 - **适配 SIEM 的日志**：完全集成了 `structlog`，可输出结构化 JSON，适合摄取到现代 SIEM 平台中。 - **容器化执行**：通过提供的 `Dockerfile` 可随时在任何环境中运行。 ## 安装 ``` # Clone the repository git clone https://github.com/gpamarthy/sentinel-forge.git cd sentinel-forge # 以 editable mode 及 dev dependencies 安装 pip install -e .[dev] ``` ## 快速开始 ``` # 从当前 sample corpus 回放 findings sentinel-forge replay-findings # 生成完整的 analyst incident report sentinel-forge analyst-report # 生成 manager 级别 summary sentinel-forge manager-summary ``` ## 初始检测 - **Root 账户使用**：检测控制平面内的 root 账户活动。 - **MFA 缺失**：在没有多因素认证的情况下成功登录控制台。 - **权限提升**：异常的 `AssumeRole` 调用，指向敏感或管理角色。 - **防篡改**：识别禁用或实质性削弱 CloudTrail 日志记录的操作。 - **GuardDuty 印证**：自动将 GuardDuty 的发现与印证性的 CloudTrail API 活动关联起来。 - **网络暴露**：检测安全组更改，这些更改将敏感端口暴露给 `0.0.0.0/0`。 ## 架构 处理管道流程： 1. **摄取**：加载原始 JSON 遥测数据并识别其来源族。 2. **规范化**：将多样的 payload 映射为通用的、可搜索的事件结构。 3. **检测**：根据事件流评估基于 YAML 的规则注册表。 4. **报告**：将发现合成为结构化时间线和执行摘要。 ## 数据持久化 Sentinel Forge 将所有已处理的事件和发现存储在位于 `sentinel_forge.db` 的本地 SQLite 数据库中。 ## 许可证 采用 MIT 许可证分发。有关更多信息，请参见 `LICENSE`。

标签：AWS, CloudTrail, Docker, DPI, FOFA, GuardDuty, Python, SecurityHub, SQLite, YAML规则引擎, 事件摘要, 剧本驱动, 安全报告, 安全运营, 安全防御评估, 扫描框架, 无后门, 日志归一化, 检测实验室, 结构化日志, 请求拦截, 逆向工具