MarioMM21/aws-autonomous-security

# AWS 自主安全 — 人工智能驱动的安全运营中心        ## 概述 一个自主的、由人工智能驱动的安全运营中心，它将 Claude AI 用作分析大脑。该系统每日研究零日威胁，分析真实的安全发现，提出加固建议，并生成结构化情报简报 —— 全部自动完成，且每次基础设施变更都需人工审批。 **这不是一个静态的安全仪表盘。这是一个能思考、学习和行动的自主系统。** ## 项目差异点 | 传统安全自动化 | 本项目 | |---|---| | 基于规则的严重性路由 | Claude AI 对每个发现进行推理分析 | | 静态修复剧本 | 动态分析并评估影响范围 | | 手动威胁研究 | 每日从 NVD + CISA 自主研究 CVE | | 通用警报 | 面向管理层的 plain English AI 分析 | | 固定的检测规则 | 通过审批工作流实现自更新防御 | | 无审计追踪 | 每个 AI 决策的不可变 DynamoDB 记录 | ## 架构 ## 实时结果 — 真实检测 ### 零日情报简报 — 自主交付 系统在部署后的次日UTC时间上午6:30交付了首份零日情报简报 —— 无需任何人工干预。 ### Kali Linux 攻击验证 所有8个攻击场景均从 Kali Linux 对实时 AWS 环境执行： | # | 攻击 | 技术 | 结果 | 防御层 | |---|---|---|---|---| | 1 | IAM 用户枚举 | T1078 | ✅ 已检测 | GuardDuty | | 2 | S3 存储桶枚举 | T1530 | ✅ 已检测 | CloudWatch | | 3 | IAM 策略枚举 | T1484 | ✅ 已检测 | CloudTrail | | 4 | CloudTrail 禁用尝试 | T1562 | ✅ 已阻止 | IAM 最小权限 | | 5 | 后门用户创建 | T1136 | ✅ 已阻止 | IAM 最小权限 | | 6 | 网络端口扫描 | T1046 | ✅ 已执行 | Nmap/GuardDuty | | 7 | 凭证访问 | T1528 | ✅ 已检测 | CloudTrail | | 8 | 数据渗出 | T1537 | ✅ 已执行 | S3 + GuardDuty | **关键发现：** 攻击4和5在触及 GuardDuty 之前就被 IAM 最小权限阻止 —— 这证明了纵深防御的有效性。失败的尝试仍然被记录到 CloudTrail，证明即使攻击被阻止，取证证据依然留存。 ## 安全特性 | 特性 | 实现方式 | |---|---| | **Prompt 注入防护** | 所有外部 CVE 数据在到达 Claude 前均已净化 | | **幻觉验证器** | 每个 Claude CVE 都经过 NVD API 验证 | | **无摩擦审批令牌** | 每次变更都需要单独的加密令牌 | | **重放攻击防护** | 单次使用令牌，6小时有效期 | | **不可变审计追踪** | 无 Lambda 角色删除权限的 DynamoDB | | **Terraform 安全护栏** | Claude 只能提议增量变更 | | **无通配符破坏性操作** | IAM 策略限定为最小必需权限 | | **CI/CD 安全扫描** | 每次推送均执行 Bandit + Safety + tfsec + Checkov + TruffleHog | ## MITRE ATT&CK 覆盖范围 | 技术 | 名称 | 战术 | 严重性 | |---|---|---|---| | T1078 | 有效账户 | 初始访问 / 权限提升 | 危急 | | T1484 | 域策略修改 | 权限提升 / 防御规避 | 高 | | T1537 | 传输数据到云账户 | 渗出 | 高 | | T1562 | 削弱防御 | 防御规避 | 危急 | | T1136 | 创建账户 | 持久化 | 高 | | T1528 | 窃取应用程序访问令牌 | 凭证访问 | 高 | | T1046 | 网络服务发现 | 发现 | 中 | | T1530 | 来自云存储的数据 | 收集 | 中 | ## 每日自主工作流 ## 技术栈 | 类别 | 技术 | |---|---| | **云平台** | AWS (us-east-1) | | **AI 分析大脑** | 通过 Anthropic API 的 Claude claude-sonnet-4-20250514 | | **基础设施即代码** | Terraform v5.x | | **威胁检测** | GuardDuty, AWS Config, Security Hub | | **审计日志** | 多区域 CloudTrail | | **检测规则** | 8 个 Sigma 规则 → CloudWatch Metric Filters | | **告警** | CloudWatch Alarms + SNS | | **编排** | Amazon EventBridge | | **无服务器** | Python 3.11 Lambda (boto3) | | **数据库** | DynamoDB (审计追踪 + 提议) | | **存储** | S3 (配置 + 邮件存储) | | **邮件** | AWS SES | | **密钥** | SSM Parameter Store (SecureString) | | **CI/CD** | GitHub Actions | | **攻击验证** | Kali Linux + AWS CLI | | **框架** | MITRE ATT&CK v14.1 | ## 已部署的 AWS 资源 通过单条 `terraform apply` 命令部署了 56 个资源： - S3 存储桶 (2) — KMS 加密配置 + 邮件存储 - DynamoDB 表 (2) — 带 PITR 的审计追踪 + 带 TTL 的提议 - SNS 主题 (2) — 危急和高危警报通道 - SSM 参数 (7) — 所有密钥均存储为 SecureString - CloudWatch 日志组 — 30 天保留期 - CloudWatch 度量过滤器 (5) — 检测逻辑 - CloudWatch 告警 (4) — 带 MITRE 标签的触发器 - GuardDuty 检测器 — 启用 S3 + 恶意软件防护 - CloudTrail — 多区域，日志文件验证 - IAM 角色 (2) — 最小权限，无通配符破坏性操作 - Lambda 函数 (5) — 完整自主管道 - EventBridge 规则 (4) — 调度 + 发现路由 - Lambda 权限 (4) — 限定范围的 EventBridge 调用 ## Lambda 函数 | 函数 | 用途 | |---|---| | `threat-intel-engine` | 每日从 NVD + CISA 进行 CVE 研究 | | `zero-day-briefing` | 通过 SES 发送团队简报 + 工程师提议 | | `ai-soc-engine` | 用于实时发现的 Claude 推理大脑 | | `approval-handler` | 加密令牌审批 + CodeBuild 触发器 | | `remediation-handler` | S3 + CloudTrail 自动修复 | ## 安全架构 ## 项目结构 ## 快速入门 ### 前置条件 - 已配置 CLI 的 AWS 账户 - 已安装 Terraform - Claude API 密钥 (console.anthropic.com) - Python 3.11 ### 10 分钟内部署 ``` git clone https://github.com/MarioMM21/aws-autonomous-security.git cd aws-autonomous-security cp terraform.tfvars.example terraform.tfvars # 使用您的电子邮件地址编辑 terraform.tfvars terraform init terraform plan terraform apply ``` ### 存储您的 Claude API 密钥 ``` aws ssm put-parameter \ --name "/autonomous-security/claude/api-key" \ --value "sk-ant-your-key-here" \ --type SecureString \ --overwrite \ --region us-east-1 ``` ### 确认 SNS 订阅 检查您的电子邮箱并确认两个 SNS 订阅邮件。 ### 等待首份简报 明天 UTC 时间上午 6:30，您的首份零日情报简报将自动到达。 ### 完成后销毁 ``` terraform destroy ``` ## CI/CD 管道 每次推送到 main 分支都会触发： **任务 1 — Sigma 验证** 验证所有 8 个检测规则的语法和必需字段。 **任务 2 — Terraform 验证** 对所有 Terraform 运行格式化检查、初始化和验证。 **任务 3 — MITRE 覆盖率报告** 生成完整的 ATT&CK 技术覆盖报告。 **任务 4 — Python 安全扫描** 对所有 Lambda 函数执行 Bandit 静态分析 + Safety CVE 扫描。 **任务 5 — Terraform 安全扫描** tfsec + Checkov 策略即代码验证。 **任务 6 — 密钥检测** TruffleHog 扫描完整 git 历史记录以查找泄露的凭证。 ## 展示的关键技能 | 技能 | 证据 | |---|---| | **AI 安全工程** | Claude 作为自主分析大脑，具备 prompt 注入防护 | | **云安全架构** | 通过 Terraform 部署的 56 资源 AWS 安全平台 | | **检测工程** | 8 个映射到 MITRE ATT&CK 的 Sigma 规则，以代码形式部署 | | **安全自动化** | 具有人工介入的全自动威胁情报管道 | | **对抗思维** | 8 个 Kali Linux 攻击场景，附有文档记录的检测结果 | | **纵深防御** | IAM 在 GuardDuty 看到之前就已阻止攻击 | | **Python 安全开发** | 注入净化器、幻觉验证器、审批处理器 | | **基础设施即代码** | 每次推送均进行安全扫描的 Terraform | | **事件响应** | 针对危急发现的自动修复，附有审计追踪 | | **威胁情报** | 每日 NVD + CISA KEV 研究，附带 AI 分析 | ## 项目演进 | 项目 | 重点 | 资源数 | |---|---|---| | [活动目录家庭实验](https://github.com/MarioMM21/ad-homelab) | IAM, AD, PowerShell | VirtualBox | | [AWS SOC Terraform 实验](https://github.com/MarioMM21/aws-soc-terraform-lab) | 云威胁检测 | 12 个资源 | | [AWS CSPM 管道](https://github.com/MarioMM21/aws-cspm-pipeline) | 态势管理 | 32 个资源 | | [企业云安全](https://github.com/MarioMM21/enterprise-cloud-security) | 企业安全运营 | 52 个资源 | | [AWS 检测即代码](https://github.com/MarioMM21/aws-detection-as-code) | 检测工程 | 19 个资源 | | **AWS 自主安全** (本项目) | 自主 AI-SOC | 56 个资源 | ## 作者 **Mario Myles** 云安全工程师 | AI 安全 | AWS | Terraform | Python | MITRE ATT&CK | Security+ - GitHub: [github.com/MarioMM21](https://github.com/MarioMM21) - LinkedIn: [linkedin.com/in/mario-myles](https://linkedin.com/in/mario-myles) *构建并部署于 2026年5月* *真实攻击。真实检测。真实 AI 推理。*

标签：AI分析, AWS安全, Cloudflare, EC2, ECS, GitHub Actions, GitHub Advanced Security, GPT, IaC, MITRE ATT&CK, Python, Terraform, 人工智能安全, 合规性, 威胁分析, 威胁情报, 安全加固, 安全简报, 安全运营中心, 开发者工具, 攻击模拟, 无后门, 漏洞利用检测, 漏洞管理, 结构化查询, 网络映射, 自动化侦查工具, 自动化安全, 自动笔记, 逆向工具, 零日漏洞, 靶机, 驱动签名利用