sirichandanasaripalli/aws-guardduty-threat-detection

# AWS GuardDuty 威胁检测与事件响应 ## 项目概述 SecureShop Pvt Ltd 需要一套云原生威胁检测解决方案，以识别和调查其 AWS 环境中的可疑活动。 本项目展示了如何实施 AWS GuardDuty 以进行持续威胁监控和事件调查。 ## 目标 - 启用 AWS GuardDuty - 生成并分析安全样本发现 - 调查严重安全警报 - 执行事件响应分析 - 编写修复建议文档 ## 使用的服务 - AWS GuardDuty - AWS IAM - AWS CloudTrail ## 调查的安全发现 ### 严重发现 AttackSequence:IAM/CompromisedCredentials GuardDuty 检测到 IAM 用户凭证存在潜在的被盗用风险。 指标包括： - 来自 Tor Exit Node 的连接 - 尝试删除 CloudTrail - 创建 IAM 角色 - 附加 IAM 策略 - IAM 用户枚举活动 ### 风险评估 严重程度：严重 潜在影响： - 权限提升 - 持久化 - 防御绕过 - 未经授权的访问 ## 调查过程 1. 审查 GuardDuty 发现 2. 分析攻击序列信号 3. 识别可疑的 API 活动 4. 评估潜在影响 5. 建议修复措施 ## 修复建议 - 禁用被盗用的凭证 - 轮换访问密钥 - 启用 MFA - 审查 IAM 权限 - 审计 CloudTrail 活动 - 监控未来的 GuardDuty 发现 ## 截图 本仓库中包含项目截图。 ## 展示的技能 - 云安全监控 - 威胁检测 - 事件响应 - AWS 安全服务 - 安全分析 - IAM 安全 ## 作者 Siri Chandana 有志成为云安全工程师

标签：AMSI绕过, AWS, DPI, GuardDuty, IAM监控, incident response, 威胁检测, 速率限制