onurcapn/aws-cloudtrail-security-logging

# AWS CloudTrail 审计与日志安全实验室 选择语言 / Dil Seçin： * [🇹🇷 Türkçe Dokümantasyon](#-aws-cloudtrail-denetim-ve-loglama-güvenlik-laboratuvarı) * [🇺🇸 English Documentation](#-aws-cloudtrail-audit--logging-security-laboratory) # 🇹🇷 AWS CloudTrail 审计与日志安全实验室 本次实验室对 AWS 云基础设施的“黑匣子”及最关键的取证分析机制——**CloudTrail** 服务进行了安全审计。通过使用 **Prowler** 网络安全工具，我们检测了基础设施中的监控和日志漏洞，进行了风险分析，并随后对系统进行了安全加固（Remediation）。 ## 1. 我们为什么进行这项工作？ 在云安全领域，**“你无法保护你看不见的东西”**这一原则是重中之重。AWS CloudTrail 是一种取证机制，它能够逐秒记录基础设施中哪个用户、在何时、从哪个 IP 地址发起了哪个 API 调用。 本实验室的目的是利用 **Prowler CLI** 检测日志基础设施中的盲点，根据 **CIS (Center for Internet Security)** 标准配置系统，并在潜在的网络攻击事件中最大化我们的**“事件响应 (Incident Response)”**能力。 ## 2. 如果我们不这么做会怎样？（末日场景） 如果我们没有执行这项加固工作，并且我们的 CloudTrail 服务被禁用或配置错误： * 🚨 **完全致盲：** 渗透进基础设施的攻击者在删除数据库、创建新用户或破坏服务器时，我们将永远无法知道内部是谁、做了什么、怎么做的。 * 🔍 **无法进行取证分析：** 在任何网络安全事件发生后，我们将没有任何证据（audit trail）可以提供给执法机构或网络保险公司。 * 🥷 **攻击者极易抹除痕迹：** 高级持续性威胁 (APTs) 会首先将日志机制作为攻击目标。最初如果没有全局追踪，攻击者开启的所有“后门”都将保持隐藏状态。 ## 3. Prowler CLI 审计与发现 在本地计算机上验证 AWS profile 后，运行了以下 Prowler 命令来分析日志基础设施的状态： ``` prowler aws --service cloudtrail -f eu-central-1 ``` ### 初始扫描结果（终端表格） 第一次扫描显示日志基础设施已被禁用或配置错误：  *(证据文件: [Ekran Resmi 2026-06-17 15.14.11.png](file:///Users/onur/Desktop/CLOUDTRA%C4%B0L/assets/Ekran%20Resmi%202026-06-17%2015.14.11.png))* | 提供商 | 服务 | 状态 | Critical | High | Medium | Low | | :--- | :--- | :--- | :---: | :---: | :---: | :---: | | **AWS** | **CloudTrail** | 🔴 **FAIL (4)** | 0 | **1** | 0 | 3 | **结果分析：** * 审计返回了 **FAIL**，因为没有涵盖所有 region 的活动全局追踪。 * **1 项 HIGH** 级别的发现表明基础设施在取证分析阶段处于完全致盲状态。 ## 4. 修复流程 与 成本/效益分析 为了修复检测到的 HIGH 级别安全漏洞，我们通过 AWS Management Console 实施了一项零成本且安全的修复策略。 ### 实施的加固步骤： 1. **创建全局追踪：** 导航到 AWS CloudTrail 控制台，以快速记录模式创建了一个名为 `management-events` 的全局追踪。 2. **多区域追踪：** 启用了多区域追踪功能，不仅将当前活跃的 region，还将 AWS 上的所有地理区域都纳入了实时监控范围。 下方图像验证了 AWS Console 上的成功配置步骤：  *(证据文件: [Ekran Resmi 2026-06-17 15.20.20.png](file:///Users/onur/Desktop/CLOUDTRA%C4%B0L/assets/Ekran%20Resmi%202026-06-17%2015.20.20.png))* ### 修复后的 Prowler 结果： 在执行加固步骤后，再次运行了审计命令： ``` prowler aws --service cloudtrail -f eu-central-1 ```  *(证据文件: [Ekran Resmi 2026-06-17 15.22.02.png](file:///Users/onur/Desktop/CLOUDTRA%C4%B0L/assets/Ekran%20Resmi%202026-06-17%2015.22.02.png))* | 提供商 | 服务 | 状态 | Critical | High | Medium | Low | | :--- | :--- | :--- | :---: | :---: | :---: | :---: | | **AWS** | **CloudTrail** | 🟡 **FAIL (8)** | 0 | **0** | 4 | 4 | ## 5. 安全环境清理 在完成并验证了实验室工作后，按照云安全停用标准，环境中没有留下任何残留物或额外的成本风险： 1. 创建的名为 `management-events` 的 CloudTrail 被停止并永久删除。 2. 清空了自动创建的用于存储日志的 AWS S3 bucket，并将其从系统中彻底移除。 # 🇺🇸 AWS CloudTrail 审计与日志安全实验室 在本实验室研究中，对作为 AWS 云基础设施“黑匣子”和最关键取证分析机制的 **AWS CloudTrail** 进行了安全审计。我们利用 **Prowler** 网络安全审计工具来检测基础设施中的监控和日志记录漏洞，进行了风险分析，并对系统进行了安全加固（Remediation）。 ## 1. 为什么进行这项工作？ 在云安全中，**“你无法保护你看不见的东西”**这一原则是基础。AWS CloudTrail 是一种取证机制，它逐秒记录了基础设施上哪个用户在何时从哪个 IP 地址发起了哪个 API 调用。 本实验室的目的是利用 **Prowler CLI** 检测日志基础设施中的盲点，根据 **CIS (Center for Internet Security)** 标准配置系统，并在发生潜在网络攻击时最大化我们的**“事件响应”**能力。 ## 2. 如果我们不这么做会怎样？（末日场景） 如果我们没有执行这项加固工作，并且我们的 CloudTrail 服务被禁用或配置错误： * 🚨 **完全致盲：** 渗透进基础设施的攻击者可以删除数据库、创建新用户或破坏服务器，而我们永远无法知道是谁做了什么以及怎么做的。 * 🔍 **无法进行取证分析：** 在任何网络安全事件发生后，我们将没有任何证据（audit trail）提交给执法机构、监管机构或网络保险公司。 * 🥷 **攻击者极易抹除痕迹：** 高级持续性威胁 (APTs) 会首先将日志机制作为攻击目标。最初缺乏全局追踪将使攻击者开启的所有“后门”保持隐藏状态。 ## 3. Prowler CLI 审计与发现 在本地机器上验证 AWS profile 后，运行了以下 Prowler 命令来分析日志基础设施的状态： ``` prowler aws --service cloudtrail -f eu-central-1 ``` ### 初始扫描发现（终端表格） 首次扫描显示日志基础设施已被禁用或配置错误：  *(证据文件: [Ekran Resmi 2026-06-17 15.14.11.png](file:///Users/onur/Desktop/CLOUDTRA%C4%B0L/assets/Ekran%20Resmi%202026-06-17%2015.14.11.png))* | 提供商 | 服务 | 状态 | Critical | High | Medium | Low | | :--- | :--- | :--- | :---: | :---: | :---: | :---: | | **AWS** | **CloudTrail** | 🔴 **FAIL (4)** | 0 | **1** | 0 | 3 | **发现分析：** * 审计返回了 **FAIL**，因为没有涵盖所有 region 的活动全局追踪。 * **1 项 HIGH** 严重性发现表明在取证分析阶段存在完全的盲区。 ## 4. 修复流程与 成本/效益分析 为了修复检测到的高严重性安全漏洞，我们通过 AWS Management Console 实施了一项零成本且安全的修复策略。 ### 实施的加固步骤： 1. **创建全局追踪：** 通过导航到 AWS CloudTrail 控制台，以快速记录模式创建了一个名为 `management-events` 的全局追踪。 2. **多区域追踪：** 启用了多区域追踪功能，不仅将活跃 region，还将 AWS 上的所有地理区域都纳入了即时监控之下。 下方图像验证了 AWS Console 上成功的配置步骤：  *(证据文件: [Ekran Resmi 2026-06-17 15.20.20.png](file:///Users/onur/Desktop/CLOUDTRA%C4%B0L/assets/Ekran%20Resmi%202026-06-17%2015.20.20.png))* ### 修复后的 Prowler 结果： 执行加固步骤后，再次运行了审计命令： ``` prowler aws --service cloudtrail -f eu-central-1 ```  *(证据文件: [Ekran Resmi 2026-06-17 15.22.02.png](file:///Users/onur/Desktop/CLOUDTRA%C4%B0L/assets/Ekran%20Resmi%202026-06-17%2015.22.02.png))* | 提供商 | 服务 | 状态 | Critical | High | Medium | Low | | :--- | :--- | :--- | :---: | :---: | :---: | :---: | | **AWS** | **CloudTrail** | 🟡 **FAIL (8)** | 0 | **0** | 4 | 4 | ## 5. 实验室清理 在实验室工作完成并验证之后，根据云安全停用标准，环境中没有留下任何残留物或额外的成本风险： 1. 创建的名为 `management-events` 的 CloudTrail 被停止并永久删除。 2. 自动创建的用于存储日志的 AWS S3 bucket 已被清空并从系统中完全移除。

标签：AWS, DPI, GitHub Advanced Security, 合规检测, 安全加固