amaurybsouza/aws-security-incident-response-lab

# AWS 安全事件响应实验室 本仓库记录了我在 AWS 安全事件响应方面的学习历程，内容基于动手实践和实际场景。 目的是了解如何在 AWS 云环境中检测、调查、遏制和预防安全事件。 ## 目标 - 了解 AWS 中的事件响应生命周期 - 使用 CloudTrail 和 GuardDuty 调查可疑活动 - 定义针对受损凭证的遏制措施 - 为真实云安全场景编写 Playbook - 探索实现更快速响应的自动化方案 ## 安全事件定义 安全事件响应是 IT 项目的重要组成部分。网络安全相关的问题种类繁多且复杂。它们具有破坏性和干扰性，并且新型安全相关事件频繁出现。 ## 响应流程 在云环境中成功的事件响应计划的基础包括准备、运营和事后活动。  ## 安全事件响应工作流 为了有效且稳健地响应安全事件，以下阶段可作为指导方针。 - 准备：准备工作在三个领域进行。 - 人员：确定利益相关者，并对他们进行事件响应和云技术的培训。 - 流程：记录架构，创建 Playbook 以一致地响应安全事件。 - 技术：设置访问权限，聚合并监控必要的日志，实施告警机制。 - 检测：识别潜在的安全事件。 - 告警是检测阶段的主要组成部分。它生成通知以启动事件响应流程。 - 分析：确定安全事件是否构成安全事件并评估其影响范围。 ## 核心主题 - AWS GuardDuty - AWS CloudTrail - AWS Security Hub - AWS IAM - VPC Flow Logs - 事件分诊 - 遏制与修复 - 根本原因分析 (RCA) ## 事件响应流程 ``` Detect → Triage → Contain → Investigate → Eradicate → Recover → Learn ```

标签：AWS, CloudTrail, DPI, GitHub Advanced Security, GuardDuty, IAM, RCA, SecOps, Security Hub, Security Incident Response, VPC Flow Logs, 事件分级, 云安全架构, 安全事件响应, 安全剧本, 安全加固, 安全运营, 库, 应急响应, 异常检测, 扫描框架, 根因分析