Akhil-1527/cloudtrail-hunter

## 它标记的内容 | 检测 | 严重性 | MITRE | |--------|--------|-------| | 根账户使用 | CRITICAL | T1078.004 | | `StopLogging` / `DeleteTrail` / GuardDuty 检测器被删除 | CRITICAL | T1562 | | 控制台登录无 MFA | HIGH | T1078 | | IAM 升级 (`CreateAccessKey`，`AttachUserPolicy`，…) | HIGH | T1098 | | 安全组开放到 `0.0.0.0/0` | HIGH | T1190 | | 控制台登录失败 | MEDIUM | T1110 | | `AccessDenied` / 未授权调用（可能的侦察） | LOW | T1078 | 当发现任何内容时，退出状态为 `1`，因此它可以作为管道的关卡。 ## 注意事项 这是一个启发式初步检查，不是 SIEM。它读取导出的事件；它还没有进行时间窗口或基线化的关联（请参阅路线图上的失败登录和访问拒绝峰值突发检测的想法）。

标签：逆向工具