avijalali/AWS-Cloud-SOC-Project

GitHub: avijalali/AWS-Cloud-SOC-Project

一个基于 AWS CloudTrail、CloudWatch 和 SNS 的云安全监控与告警项目，用于实时检测 AWS 账户中的高危操作与可疑事件。

Stars: 0 | Forks: 0

# 🔐 AWS Cloud SOC - 安全监控与告警项目一个实操云安全项目，演示了如何使用 AWS 原生安全和监控服务在 AWS 中构建**云安全运营中心 (SOC)**。本项目侧重于收集 AWS 活动日志、检测可疑事件，并通过 Amazon SNS 生成实时安全告警。 ## 📌 项目目标 * 使用 AWS CloudTrail 启用集中式日志记录。 * 将 CloudTrail 日志流式传输到 CloudWatch Logs。 * 创建指标过滤器以检测安全事件。 * 为可疑活动配置 CloudWatch Alarms。 * 使用 Amazon SNS 发送实时电子邮件通知。 * 监控 AWS 账户活动和潜在安全事件。 * 演示云原生 SOC 监控与告警能力。 ## 🏗️ 架构图 ![架构](https://raw.githubusercontent.com/avijalali/AWS-Cloud-SOC-Project/main/aws-cloud-soc-architecture.png) ## 🛠️ 使用的 AWS 服务 | 服务 | 用途 | | ------------------------- | -------------------------------------- | | AWS CloudTrail | 捕获 AWS API 活动和账户事件 | | Amazon CloudWatch Logs | 存储 CloudTrail 日志 | | CloudWatch Metric Filters | 从日志中检测特定安全事件 | | CloudWatch Alarms | 检测到可疑活动时触发告警 | | Amazon SNS | 发送电子邮件通知 | | Gmail | 接收安全告警 | ## 🏛️ 架构概述 ``` AWS CloudTrail │ ▼ CloudWatch Logs │ ▼ Metric Filters │ ▼ CloudWatch Alarms │ ▼ Amazon SNS Topic │ ▼ Email Notifications ``` ## 🔒 已实现的安全用例 ### 1. Root 账户使用检测 * 检测何时使用了 AWS Root 账户。 * 生成即时的电子邮件告警。 ### 2. 未使用 MFA 的控制台登录 * 检测未启用 MFA 的控制台登录。 * 帮助识别薄弱的身份验证做法。 ### 3. IAM 策略更改 * 检测 IAM 策略的创建、删除和修改。 * 监控提权尝试。 ### 4. 安全组更改 * 检测对安全组规则的修改。 * 帮助识别意外或恶意的资源暴露。 ### 5. 未授权的 API 调用 * 检测： * `AccessDenied` * `UnauthorizedOperation` * 监控未经授权的访问尝试。 ### 6. CloudTrail 更改 * 检测： * StopLogging * DeleteTrail * UpdateTrail * 帮助识别试图禁用日志记录以掩盖踪迹的行为。 ## 📸 项目截图 ### CloudTrail 配置 ![CloudTrail 详情](https://raw.githubusercontent.com/avijalali/AWS-Cloud-SOC-Project/main/screenshots/cloudtrail-trail-details.png) ### CloudWatch Log Group ![CloudWatch Log Group](https://raw.githubusercontent.com/avijalali/AWS-Cloud-SOC-Project/main/screenshots/cloudwatch-log-group.png) ### Metric Filters – 第 1 部分 ![Metric Filters 1](https://raw.githubusercontent.com/avijalali/AWS-Cloud-SOC-Project/main/screenshots/metric-filters-1.png) ### Metric Filters – 第 2 部分 ![Metric Filters 2](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/6590e1fd3b073409.png) ### Metric Filters – 第 3 部分 ![Metric Filters 3](https://raw.githubusercontent.com/avijalali/AWS-Cloud-SOC-Project/main/screenshots/metric-filters-3.png) ### CloudWatch Alarms ![CloudWatch Alarms](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/18be84d031073441.png) ### SNS Topic 和 Subscription ![SNS Topic](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/aa3a1951aa073443.png) ### SNS Subscription 详情 ![SNS Subscription](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/0397f77e25073445.png) ### Root 账户使用电子邮件告警 ![电子邮件告警](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/d045962a44073447.png) ## 🚨 监控的安全事件 | 事件 | 用途 | | ---------------------- | ------------------------------ | | RootAccountUsage | 检测 Root 账户使用 | | ConsoleLoginWithoutMFA | 检测未使用 MFA 的控制台登录 | | IAMPolicyChange | 检测 IAM 策略修改 | | SecurityGroupChange | 检测安全组修改 | | UnauthorizedAPICall | 检测未经授权的 API 活动 | | CloudTrailChange | 检测 CloudTrail 篡改 | ## 📈 实现的安全改进 ✅ 集中式日志记录 ✅ 实时安全监控 ✅ 自动化告警 ✅ 特权账户监控 ✅ 检测未经授权的活动 ✅ 配置更改监控 ✅ 事件可见性 ✅ 改善的安全态势 ## 💡 展示的技能 * AWS 云安全 * 安全监控与告警 * AWS CloudTrail * Amazon CloudWatch * Amazon SNS * 安全运营中心 (SOC) 概念 * 威胁检测 * 事件监控 * 日志分析 * 云安全最佳实践 ## 🚀 未来增强计划 * 与 Amazon EventBridge 集成。 * 使用 AWS Lambda 添加自动修复功能。 * 将告警转发至 Slack 或 Microsoft Teams。 * 与 SIEM 平台（如 Splunk 或 ELK）集成。 * 使用 AWS Organizations 添加多账户监控。 * 使用 Amazon OpenSearch 构建仪表板。 ## 👨‍💻 作者 **Aayush Jalali** * CompTIA Security+ * 有志于成为云安全工程师 * 开展实操云安全和 SOC 项目。 ## ⭐ 如果您觉得此项目有用，请考虑给此仓库点个 Star。

标签：AMSI绕过, AWS, DPI, 告警系统, 威胁检测, 安全运营中心, 网络映射