Kalla-Bhanu/CloudSec-SOC-Detection-Lab
GitHub: Kalla-Bhanu/CloudSec-SOC-Detection-Lab
一个以AWS云安全为核心的SOC检测工程实验室,通过合成数据集和完整的工具链展示从场景设计、信号生成到告警验证、证据处理和响应呈现的全流程检测方法论。
Stars: 0 | Forks: 0
# CloudSec SOC 检测实验室
一个以 AWS 优先的 SOC 检测工程实验室,展示了如何跨云、身份、运行时、端点和数据访问层面,设计、验证、解释和呈现五种常见的安全监控场景。
这是公开安全的作品集版本。它使用了合成数据集、脱敏的证据截图、实验室安全的测试代码,且仅包含公开文档。它不包含私营公司名称、租户标识符、客户数据、真实凭证、机密值、私人准备笔记或真实的租户截图。
## 本项目展示了什么
- 面向分析师和领导层审查的仪表板优先 SOC 报告。
- 五个映射到分诊、查询追踪、证据锚点和响应决策的检测场景。
- 替代私密截图的公开安全证据图表。
- 基于 Lambda 的合成事件重放测试代码。
- Datadog 日志和监控验证模式,使用 `source:test-harness` 和 `synthetic:true`。
- 围绕 CloudTrail、IAM、STS、S3、Secrets Manager、EKS 和 KMS 的 AWS 调查上下文。
- 流程图、证据模板、演示 Runbook 和演示文稿。
## 检测场景
1. 身份账户接管模式。
2. AWS 凭证滥用与权限提升。
3. EKS 工作负载身份和秘密访问链。
4. 端点到 MongoDB 的横向移动调查。
5. S3 数据访问与潜在的数据窃取。
## 仓库结构
```
dashboard/ Static dashboard UI, evidence visuals, and local runner
data/ Synthetic CSV datasets used by the lab
docs/ Flowcharts, walkthroughs, query examples, and deck
harness/ Lambda and Datadog synthetic replay tooling
evidence-templates/ Public-safe source templates for evidence panels
tools/ Utility scripts for generated public-safe assets
```
## 关键工件
- 在线仪表板 (GitHub Pages):`https://kalla-bhanu.github.io/CloudSec-SOC-Detection-Lab/`
- 在线仪表板:`https://cloudsec-soc-detection-lab.vercel.app/`
- 仪表板:`dashboard/index.html`
- 流程图:`docs/architecture-and-flowcharts.md`
- 演示演练:`docs/demo-walkthrough.md`
- CLI/查询示例:`docs/queries/cli-query-examples.md`
- 证据清单:`evidence-templates/asset-manifest.md`
- 演示文稿:`docs/deck/cloudsec-soc-detection-lab.pptx`
## 在本地运行仪表板
仪表板已在以下地址公开托管:
```
https://kalla-bhanu.github.io/CloudSec-SOC-Detection-Lab/
https://cloudsec-soc-detection-lab.vercel.app/
```
GitHub Pages 通过 `.github/workflows/pages.yml` 发布 `dashboard/` 文件夹。Vercel 使用 `vercel.json` 将根 URL 重定向到 `/dashboard/`,以提供相同的仪表板服务。
要在本地运行相同的仪表板:
```
cd .\dashboard
powershell -ExecutionPolicy Bypass -File .\run-dashboard.ps1
```
然后打开脚本输出的本地 URL。
## 测试代码概念
该测试代码将受控的安全事件重放到监控系统中。在此公开版本中,名称、账户 ID、资源名称和秘密路径均为占位符。
```
synthetic scenario event
-> Lambda replay harness
-> Datadog logs scoped to source:test-harness
-> scoped monitor or alert condition
-> analyst triage and response workflow
```
其目的不是宣称具有生产环境的覆盖能力。其目的是展示检测工程的流程:场景设计、信号生成、监控验证、证据处理、分诊、升级和展示。
## 隐私与安全
本仓库已刻意进行了脱敏处理:
- 没有真实的公司名称。
- 没有真实的客户、员工或租户数据。
- 没有生产环境的凭证。
- 没有私人准备笔记。
- 没有真实的租户截图。
- 没有机密值。
- 没有来自私密准备材料的二进制导出文件。
所有数据集、图表、示例和演示文稿内容均为合成数据,或为用于作品集展示而进行了重写。
标签:AI合规, AMSI绕过, AWS安全, CloudTrail, CSV导出, Datadog, EKS, HTTP/HTTPS抓包, KMS, Lambda, MongoDB, S3安全, SOC实验室, StruQ, TGT, Web截图, 仪表盘, 凭证滥用, 合成数据, 后端开发, 威胁检测, 安全可视化, 安全运营, 容器安全, 开源安全项目, 态势感知, 扫描框架, 攻防演练, 数据窃取, 漏洞利用检测, 漏洞探索, 特权提升, 紫队, 自动化部署, 身份与访问管理