Emeka266-tech/aws-cloudtrail-forensic-analysis

# aws-cloudtrail-forensic-analysis

云安全取证项目，分析 AWS CloudTrail 日志以检测未授权访问模式、调查安全事件，并展示实用的 SOC 级别威胁狩猎技能。

# AWS CloudTrail 取证分析（SOC 实习项目） ## 概述 本项目基于我在 SOC 分析师实习期间完成的一个真实云取证调查场景。目标是分析 AWS CloudTrail 日志，识别可疑活动并重建安全违规事件。 ## 核心目标 * 识别被泄露的凭证 * 跨日志追踪攻击者活动 * 检测权限提升 * 分析混淆（Base64）数据 * 调查数据外泄 * 识别持久化机制 ## 使用工具 * VS Code（日志分析） * CyberChef（Base64 解码） * AWS CloudTrail 日志 ## 关键发现 * 被泄露的访问密钥从一个外部 IP 地址被使用 * 攻击者利用恶意的 IAM 策略进行了权限提升 * 敏感凭证通过 Base64 编码暴露 * 数据从一个 S3 存储桶中被外泄 * 创建了一个后门 IAM 用户用于持久化 ## 报告 完整的调查报告以 PDF 形式提供在本仓库中。 ## 展示技能 * 云安全分析 * 威胁狩猎 * 事件响应 * 日志分析 * AWS 安全基础

完整的取证分析报告可在 report.pdf 中查看。

标签：AWS, Base64解码, CloudTrail, CSV导出, CyberChef, DPI, IAM策略, RedTeam, S3安全, Subfinder, 云取证, 协议分析, 安全工程师, 安全报告, 安全运营中心, 实习生项目, 恶意行为分析, 持久化后门, 攻击溯源, 数字取证, 数据窃取, 未授权访问, 本体建模, 权限提升, 漏洞探索, 网络安全, 网络映射, 自动化脚本, 隐私保护