sirichandanasaripalli/aws-cloud-security-monitoring-lab

# AWS 云安全监控与告警实验 ## 项目概述 本项目演示了在 AWS 中实现云安全监控与告警 pipeline 的过程。 目标是检测 AWS Root 账户控制台登录，并生成实时的电子邮件告警，以进行安全监控和事件响应。 | 检测规则 | 触发条件 | 严重程度 | |---|---|---| | Root 账户登录 | 任何 Root 控制台登录 | CRITICAL | ## 架构 Root 登录 ↓ CloudTrail ↓ CloudWatch Logs ↓ Metric Filter ↓ CloudWatch Alarm ↓ SNS Topic ↓ 电子邮件告警 ## 使用的服务 * AWS CloudTrail * Amazon CloudWatch Logs * CloudWatch Metric Filters * CloudWatch Alarms * Amazon SNS ## 实施步骤 ### 1. CloudTrail 配置 * 创建了多区域 CloudTrail。 * 在整个 AWS 账户中启用了活动日志记录。 ### 2. CloudWatch 集成 * 创建了 CloudWatch Log Group： /secureshop/security-logs * 将 CloudTrail 连接到 CloudWatch Logs。 ### 3. 创建检测规则 创建了 Metric Filter 以识别 Root 账户控制台登录。 Filter Pattern： { $.userIdentity.type = "Root" && $.eventType = "AwsConsoleSignIn" } ### 4. 告警配置 创建了 CloudWatch Alarm，触发条件为： Rootlogins >= 1 ### 5. SNS 通知 * 创建了 SNS Topic： secureshop-security-alerts * 添加了电子邮件订阅以发送告警。 ### 6. 验证 * 执行了 Root 账户登录。 * 验证了： * CloudTrail 捕获了该事件。 * CloudWatch 检测到了该事件。 * Alarm 进入了 ALARM 状态。 * SNS 电子邮件通知已成功送达。 ## 安全成果 成功实现了一个端到端的云安全监控 pipeline，能够检测敏感的 AWS Root 账户登录事件并生成实时告警。 ## 架构 +------------------+ | Root 账户 | | 登录事件 | +--------+---------+ | v +------------------+ | AWS CloudTrail | | 捕获事件 | +--------+---------+ | v +----------------------+ | CloudWatch Logs | | /secureshop/ | | security-logs | +--------+-------------+ | v +----------------------+ | Metric Filter | | RootLoginDetection | +--------+-------------+ | v +----------------------+ | CloudWatch Alarm | | Root-Login-Detection | +--------+-------------+ | v +----------------------+ | SNS Topic | | 安全告警 | +--------+-------------+ | v +----------------------+ | 电子邮件通知 | | 安全团队/用户 | +----------------------+ ``` ## 展示的技能 * Cloud Security Monitoring * Security Event Detection * Incident Alerting * AWS CloudTrail * CloudWatch Logs * Metric Filters * CloudWatch Alarms * SNS Notifications ```

标签：AWS, CloudTrail, CloudWatch, DPI, 告警系统