Parakh-Shinde/AI-Cloud-Security-Project-

GitHub: Parakh-Shinde/AI-Cloud-Security-Project-

基于 AWS 和 Splunk SIEM 构建的云安全 SOC 平台,实现集中式日志监控、威胁检测、攻击模拟与 AI 辅助事件分析。

Stars: 0 | Forks: 0

# AI-Cloud-Security-Project- **基于 AWS 的 AI 驱动的云安全 SOC 平台,使用 Splunk SIEM、CloudTrail、VPC Flow Logs、AWS WAF 和 DVWA。实现了集中式日志监控、威胁检测、攻击模拟和 AI 辅助的事件分析,以检测 SQLi、XSS、暴力和可疑的云活动。** # AWS 上的云安全监控与威胁检测平台 ## 关于本项目 我构建这个项目是为了获得有关 AWS 中云安全监控、威胁检测和安全运营的实战经验。 目标是创建一个小型的安全运营中心 (SOC) 环境,可以从一个中心位置监控云基础设施、Web 应用程序和网络活动。我希望了解安全团队如何收集日志、调查事件和响应威胁,而不是仅仅使用孤立的工具。 该环境由在 AWS Application Load Balancer 后面托管 DVWA 的两台 Web 服务器、一台专用的 Splunk SIEM 服务器、用于审计日志的 AWS CloudTrail、用于网络可见性的 VPC Flow Logs、用于 Web 应用程序保护的 AWS WAF,以及一个用于警报分析的 AI 安全助手组成。 ## 我构建的内容 * 使用 EC2 在 AWS 中部署了多服务器环境。 * 配置了 Application Load Balancer 以在两台 Web 服务器之间分配流量。 * 安装了 DVWA 以模拟真实的 Web 应用程序攻击。 * 设置了 Splunk Enterprise 作为集中式 SIEM 平台。 * 配置了 Splunk Universal Forwarders 以从 Web 服务器收集日志。 * 启用了 CloudTrail 以监控 AWS 账户活动。 * 启用了 VPC Flow Logs 以捕获网络流量元数据。 * 配置了 AWS WAF 以保护应用程序免受常见 Web 攻击。 * 在 Splunk 中创建了安全仪表板和检测规则。 * 设计了 AI 安全代理概念以帮助分析和确定安全警报的优先级。 ## 项目的重要性 云环境每天都会生成大量安全数据。如果没有集中式监控,就很难识别可疑活动或调查事件。 这个项目帮助我了解了: * 云日志是如何生成和收集的。 * SIEM 平台如何摄取和分析安全事件。 * 威胁检测规则是如何创建的。 * 攻击者如何与易受攻击的应用程序交互。 * 安全分析师如何调查可疑活动。 * 云安全服务如何协同工作以提高可见性。 ## 安全监控 该平台从多个来源收集和分析数据: ### AWS CloudTrail 用于监控: * AWS API 活动 * IAM 更改 * 基础设施修改 * 管理操作 ### VPC Flow Logs 用于监控: * 网络流量 * 源和目标 IP 地址 * 允许和拒绝的连接 * 可疑的通信模式 ### Web 服务器日志 用于监控: * HTTP 请求 * 应用程序错误 * 用户活动 * 攻击尝试 ### 身份验证日志 用于监控: * 失败的 SSH 登录 * 成功的登录 * 暴力尝试 ## 攻击模拟 为了测试监控环境,我对 DVWA 进行了几次攻击模拟: * SQL Injection * Cross-Site Scripting (XSS) * 暴力身份验证 * 目录遍历 * Nmap 侦察扫描 生成的日志由 Splunk 收集,并用于验证检测规则和仪表板。 ## 检测规则 在 Splunk 中实施的一些检测包括: * SSH 暴力检测 * SQL Injection 检测 * XSS 检测 * 端口扫描检测 * 可疑登录检测 * 未经授权的 AWS 活动监控 这些检测有助于识别潜在的恶意行为并提高调查速度。 ## AI 安全代理 作为该项目的扩展,我设计了一个 AI 安全代理概念,它可以处理 Splunk 生成的警报并协助调查。 其理念是自动: * 总结警报 * 分配严重性级别 * 解释事件可疑的原因 * 推荐下一步调查步骤 * 生成事件摘要 这模拟了现代 SOC 环境中越来越多地使用 AI 的方式。 ## 面临的挑战 在构建这个项目时,我遇到的一些挑战包括: * 配置 AWS 资源之间的通信。 * 正确设置 Splunk 转发。 * 解决安全组和网络问题。 * 将云日志摄取到 Splunk 中。 * 创建有意义的检测规则。 * 了解 AWS 日志服务及其相互关系。 解决这些问题帮助我获得了超越单纯遵循教程的实践经验。 ## 展示的关键技能 * AWS 安全 * 云安全监控 * Splunk SIEM 管理 * 检测工程 * 威胁狩猎 * 安全运营 * 日志分析 * Web 应用程序安全 * 网络监控 * 事件调查 ## 未来改进 计划的改进包括: * 基于 Terraform 的部署 * Security Hub 集成 * GuardDuty 集成 * SOAR 自动化 * 自动化的事件响应 * 容器安全监控 * Kubernetes 安全监控 ## 最终总结 这个项目让我获得了云安全和 SOC 团队使用的许多技术和工作流程的实战经验。更重要的是,它帮助我了解了不同的安全工具如何协同工作,以在云环境中提供可见性、检测威胁和支持事件响应。
标签:AMSI绕过, AppImage, AWS, CISA项目, DOE合作, DPI, Web应用防火墙, 威胁检测, 安全运营中心, 红队行动, 网络映射, 速率限制