cnwanze-cloud/Automated-Security-Incident-Response-System
GitHub: cnwanze-cloud/Automated-Security-Incident-Response-System
该项目实现了一个基于 AWS 无服务器架构的自动化安全事件响应系统,用于实时检测并处置可疑的 IAM 活动。
Stars: 0 | Forks: 0
# 🔐 自动化安全事件响应系统 (AWS)
## 📌 概述
本项目在 AWS 上实现了一个**无服务器安全事件响应系统**,可自动检测可疑的 IAM 活动并实时响应。
它模拟了一个基础的**安全运营中心 (SOC) 自动化流水线**,其中多项 AWS 服务协同工作,以监控、分析和响应潜在的安全威胁。
## 🚨 问题描述
在云环境中,恶意或意外的 IAM 操作(例如创建访问密钥或修改策略)可能会导致严重的安全漏洞。
该系统自动化了检测和响应流程,从而减少人为延迟并提升安全态势。
## 🏗️ 架构
### 流程说明:
1. **AWS CloudTrail** 记录所有的 IAM 和账户活动
2. **Amazon EventBridge** 过滤可疑事件
3. **AWS Lambda** 处理并分析事件
4. **Amazon SNS** 发送实时警报
5. **AWS IAM** 自动禁用遭到泄露的访问密钥(可选的响应操作)
## ☁️ 使用的 AWS 服务
- AWS CloudTrail – API 活动日志记录
- Amazon EventBridge – 事件路由和过滤
- AWS Lambda – 无服务器自动化逻辑
- Amazon SNS – 安全通知
- AWS IAM – 身份和访问管理
## ⚙️ 功能
- 实时检测可疑的 IAM 活动
- 自动化的安全事件响应工作流
- 用于安全事件的邮件警报系统
- 可选的遭到泄露的访问密钥自动停用功能
- 完全无服务器且可扩展的架构
## 🚨 检测到的安全事件
系统会监控并响应以下事件:
- `CreateAccessKey`
- `AttachUserPolicy`
- `PutUserPolicy`
- `DeactivateMFADevice`
## 🧪 测试系统
### 选项 1:AWS 控制台
1. 创建一个 IAM 测试用户
2. 生成访问密钥
3. 观察 CloudTrail 事件日志记录
4. EventBridge 自动触发 Lambda
5. SNS 发送警报邮件
### 选项 2:AWS CLI
```
aws iam create-access-key --user-name test-user
```
这将生成一个 CloudTrail 事件,从而触发安全流水线。
📂 Lambda 函数逻辑
Lambda 函数执行以下操作:
* 事件解析
* 风险分析
* SNS 通知
* IAM 访问密钥停用(如果检测到风险事件)
🔐 安全注意事项
* IAM 权限应遵循最小权限原则
* 应限制对 SNS topic 的访问
* 应在所有区域启用 CloudTrail
* 应使用 CloudWatch 监控日志
📊 展现的技能
* 云安全自动化
* 事件驱动架构
* 无服务器计算 (AWS Lambda)
* 事件响应设计
* IAM 安全管理
* 真实场景的 SOC 工作流模拟
🚀 未来改进
* 用于警报的 Slack/Discord 集成
* 与 AWS GuardDuty 集成
* 基于机器学习的异常检测
* 集中式安全仪表板 (CloudWatch / QuickSight)
* 多账户 AWS 安全监控
👨💻 作者
Chigozie Nwanze
云工程师
### 流程说明:
1. **AWS CloudTrail** 记录所有的 IAM 和账户活动
2. **Amazon EventBridge** 过滤可疑事件
3. **AWS Lambda** 处理并分析事件
4. **Amazon SNS** 发送实时警报
5. **AWS IAM** 自动禁用遭到泄露的访问密钥(可选的响应操作)
## ☁️ 使用的 AWS 服务
- AWS CloudTrail – API 活动日志记录
- Amazon EventBridge – 事件路由和过滤
- AWS Lambda – 无服务器自动化逻辑
- Amazon SNS – 安全通知
- AWS IAM – 身份和访问管理
## ⚙️ 功能
- 实时检测可疑的 IAM 活动
- 自动化的安全事件响应工作流
- 用于安全事件的邮件警报系统
- 可选的遭到泄露的访问密钥自动停用功能
- 完全无服务器且可扩展的架构
## 🚨 检测到的安全事件
系统会监控并响应以下事件:
- `CreateAccessKey`
- `AttachUserPolicy`
- `PutUserPolicy`
- `DeactivateMFADevice`
## 🧪 测试系统
### 选项 1:AWS 控制台
1. 创建一个 IAM 测试用户
2. 生成访问密钥
3. 观察 CloudTrail 事件日志记录
4. EventBridge 自动触发 Lambda
5. SNS 发送警报邮件
### 选项 2:AWS CLI
```
aws iam create-access-key --user-name test-user
```
这将生成一个 CloudTrail 事件,从而触发安全流水线。
📂 Lambda 函数逻辑
Lambda 函数执行以下操作:
* 事件解析
* 风险分析
* SNS 通知
* IAM 访问密钥停用(如果检测到风险事件)
🔐 安全注意事项
* IAM 权限应遵循最小权限原则
* 应限制对 SNS topic 的访问
* 应在所有区域启用 CloudTrail
* 应使用 CloudWatch 监控日志
📊 展现的技能
* 云安全自动化
* 事件驱动架构
* 无服务器计算 (AWS Lambda)
* 事件响应设计
* IAM 安全管理
* 真实场景的 SOC 工作流模拟
🚀 未来改进
* 用于警报的 Slack/Discord 集成
* 与 AWS GuardDuty 集成
* 基于机器学习的异常检测
* 集中式安全仪表板 (CloudWatch / QuickSight)
* 多账户 AWS 安全监控
👨💻 作者
Chigozie Nwanze
云工程师标签:AWS, DPI, IAM监控, 安全运营, 扫描框架, 自动化响应