aakash1998gadekar/CloudTrailGuard-Threat-Detection

# 🔍 CloudTrailGuard — 云威胁检测与日志分析引擎

结合检测规则与 MITRE ATT&CK 云矩阵映射的 AWS CloudTrail 日志分析

## 📖 什么是 CloudTrailGuard？ **CloudTrailGuard** 是一个云威胁检测引擎，通过分析 AWS CloudTrail 日志来识别攻击模式、权限提升、数据外泄和持久化机制。它应用了 30 多条 Sigma 风格的检测规则，并将每个告警映射到 MITRE ATT&CK 云矩阵。 ### 它解决的问题： AWS CloudTrail 每小时生成数千个事件。SOC 团队无法通过手动审查日志来发现异常——攻击者会使用盗取的密钥，在凌晨 3 点进行权限提升，并将数据分块外泄。除非您知道要查找什么，否则这一切看起来都很“正常”。 ## ✨ 功能 | 功能 | 描述 | |---------|-------------| | 🔍 **30+ 检测规则** | 用于云攻击模式的 Sigma 风格规则 | | 🎯 **MITRE ATT&CK 云** | 每个告警均映射到 ATT&CK 技术 | | ⚡ **攻击模拟** | 5 个预置的攻击场景用于测试 | | 📈 **时间轴可视化** | 按时间、用户和 IP 关联事件 | | ⚖️ **严重性评分** | 基于技术严重性 + 影响范围 | | 🐳 **演示模式** | 模拟攻击日志 —— 无需 AWS | ## 🚀 快速开始 ``` cd CloudTrailGuard pip install -r requirements.txt uvicorn backend.app.main:app --reload # 打开 http://localhost:8001 ``` ## 💡 展示的技能 - ✅ 云日志分析 (CloudTrail) - ✅ 检测工程 (Sigma 风格规则) - ✅ MITRE ATT&CK 云矩阵 - ✅ 事件时间轴重建 - ✅ 告警关联与分诊 - ✅ 安全自动化 ## 📄 许可证 MIT License

标签：AMSI绕过, AV绕过, AWS CloudTrail, FastAPI, Python, 威胁检测, 安全, 无后门, 请求拦截, 超时处理, 逆向工具