Great-Leadres/AWS-Threat-Detection-Incident-Response-Lab

目标 本项目演示了使用原生 AWS 安全服务来检测、分析和修复潜在账户盗用及严重数据泄露风险的实际操作能力，全面展示了云安全分析师的工作流程。 使用的工具与技术 AWS Security Hub：用于集中、管理和分析安全发现。 Amazon GuardDuty：用于基于行为的智能威胁检测。 Amazon S3：用于创建和修复常见的存储错误配置。 AWS IAM：用于实施身份和访问管理最佳实践。 Markdown：用于创建最终项目报告。 项目演练 本实验模拟了一个真实的安全场景。首先，通过潜在的凭证泄露检测到一个活跃威胁。其次，识别出一个静态的基础设施错误配置。本项目遵循了完整的生命周期：引入漏洞、使用 AWS 工具检测漏洞、分析风险并执行修复。 第一阶段：设置与基线 初始阶段包括启用和配置核心 AWS 安全服务，以建立监控基线。启用了 AWS Security Hub 以集中管理安全发现，并激活了 Amazon GuardDuty 用于智能威胁检测。 第二阶段：引入漏洞 此阶段涉及引入一个行为威胁和一个常见的基础设施错误配置。 （无意造成的）行为威胁：从一个与已知 VPN 服务相关的 IP 地址登录 AWS Root User 账户，模拟潜在的凭证泄露。 基础设施错误配置：通过禁用“Block Public Access（阻止公共访问）”设置并应用公共读取存储桶策略，将一个 Amazon S3 存储桶配置为允许公共访问。 第三阶段：检测与分析 此阶段涵盖使用 AWS GuardDuty 和 Security Hub 对发现进行检测和分析。 发现 1：潜在 Root 凭证泄露（严重）Amazon GuardDuty 在检测到与账户 root 用户相关的异常活动后，生成了严重警报。GuardDuty Root 凭证泄露发现的屏幕截图 分析：这是最严重的警报类型，因为 root 用户的泄露会使攻击者获得对整个 AWS 账户的不受限制的访问权限。该发现是由与 VPN 关联的 IP 地址登录触发的，GuardDuty 的行为分析正确地将其识别为攻击者用来隐藏其位置的一种策略。该发现引用了几种 MITRE ATT&CK 技术，包括 T1078.004 - Valid Accounts: Cloud Accounts，表明潜在攻击者正在使用合法（被盗）凭证进行初始访问。 发现 2：检测到公共 S3 存储桶（严重）在应用公共读取存储桶策略后，Security Hub 生成了严重级别的发现。AWS Security Hub 中 S3 发现的屏幕截图 分析：此发现表明存在严重的数据泄露风险，因为放置在此存储桶中的任何数据都将被互联网上的任何人读取，从而可能导致数据泄露。 第四阶段：修复与验证 最后阶段涉及纠正错误配置和实施安全最佳实践，以减轻已识别的风险。 Root 凭证泄露修复： 调查：对该警报进行了调查，并确认其为由意外从 VPN 进行管理登录引起的误报。 最佳实践实施：为了符合 AWS 安全最佳实践，采取了以下行动： 不再将 root 用户用于任何日常管理或实验任务。 已创建一个具有管理权限的专用 IAM 用户 以用于所有未来的工作。 已在 root 账户和新的 IAM 管理员用户上强制实施 Multi-Factor Authentication (MFA)。 S3 存储桶修复：移除了公共读取存储桶策略，并在存储桶级别重新启用了“Block Public Access（阻止公共访问）”设置。该发现在 Security Hub 中被确认为“已解决”。已解决的 S3 发现的屏幕截图 结论与主要收获 本项目提供了使用原生 AWS 安全工具进行完整的“检测-分析-修复”生命周期的实践经验。主要收获包括： 行为威胁检测 在识别潜在账户泄露（而不仅仅是静态错误配置）方面的重要性。 遵循 IAM 最佳实践的迫切需要，尤其是避免使用 root 用户并强制实施 MFA。 分析和修复严重数据泄露风险（公共 S3 存储桶）以保护敏感信息的过程。

标签：Amazon GuardDuty, AMSI绕过, AWS, AWS Security Hub, DPI, IAM, Markdown, S3存储桶, SecOps, VPN登录模拟, 云基础设施, 云安全架构, 公共权限配置, 凭证泄露, 威胁检测, 安全分析师, 安全合规, 安全基线, 安全运营, 扫描框架, 教学环境, 漏洞修复, 网络代理, 网络安全培训, 网络安全实验, 账户劫持, 速率限制, 防御加固