nikhilyadav-sec/cloud-soc-detection-response-lab

GitHub: nikhilyadav-sec/cloud-soc-detection-response-lab

该项目是一个基于 AWS 和 Splunk Cloud 的蓝队实战实验室,用于构建和验证云端威胁检测、告警与事件响应流程。

Stars: 0 | Forks: 0

# Cloud SOC 检测与响应实验室 这是一个专注于云的蓝队实验室,展示了如何在 Splunk Cloud 中收集、分析 AWS 遥测数据,并将其转化为检测、警报、仪表板和证据。 该项目结合了两条验证路径: - `Run 001`:使用模拟 AWS 风格遥测、Splunk 搜索、检测以及由 Kali 驱动的主机活动的本地优先验证 - `Run 002`:将原生 AWS CloudTrail 引入 Splunk Cloud,并进行真实的 IAM 活动检测 ## 本项目展示了什么 - 使用 HEC 将受控的 AWS 风格遥测数据引入 Splunk Cloud - 通过 Splunk Add-on for AWS 将原生 AWS CloudTrail 日志引入 Splunk Cloud - 针对 IAM 滥用、CloudTrail 篡改和可疑 API 活动的检测工程 - 用于 SOC 风格分流的仪表板和警报 - 基于证据的交付,包含屏幕截图、时间线和特定运行的产物 ## 核心技术栈 - `AWS`:CloudTrail、GuardDuty、IAM、S3、SQS - `SIEM`:Splunk Cloud、Splunk Add-on for AWS、HTTP Event Collector (HEC) - `对手模拟`:Kali Linux、Windows 10 目标虚拟机 - `自动化`:Python - `基础设施即代码`:Terraform ## 架构 1. 在本地生成模拟 AWS 风格的遥测数据,并通过 HEC 推送到 Splunk Cloud 的 `cloud_soc_lab`。 2. 原生 AWS CloudTrail 日志从 AWS 流向 S3,S3 通知发送到 SQS,最后由 Splunk Add-on for AWS 将其拉取到 `cloud_soc_labs_aws`。 3. Splunk 搜索、警报和仪表板展示可疑活动。 4. 每次运行的证据和时间线都存储在 `evidence/` 目录下。 请参阅 [architecture.md](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\docs\architecture.md) 和 [dataflow.md](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\docs\dataflow.md)。 ## 已验证的成果 - `模拟遥测引入`:在 Splunk Cloud 中验证了类似 CloudTrail、类似 GuardDuty 和类似 VPC 流日志的事件 - `原生 AWS 引入`:验证了将 CloudTrail 引入 `cloud_soc_labs_aws` - `Kali 验证`:针对 Windows 实验室目标完成了探测和 SSH 身份验证工作流 - `检测`:在 Splunk 中创建并触发了计划警报 - `仪表板`:在 Splunk Cloud 中构建了 Cloud SOC 概览仪表板 ## 检测 - `DET-001`:可疑的 `AssumeRole` 活动 - `DET-002`:创建新的访问密钥 - `DET-003`:CloudTrail 篡改尝试 - `DET-004`:高严重性 GuardDuty 发现 - `DET-005`:原生 AWS IAM 更改活动 检测说明位于 [splunk/detections](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\splunk\detections) 下。 ## 证据 - [Run 001 时间线](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\evidence\run-001\timeline.md):使用模拟遥测和 Kali 活动的本地优先验证 - [Run 002 时间线](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\evidence\run-002\timeline.md):Splunk Cloud 和原生 AWS CloudTrail 验证 主要截图命名映射: - [Run 001 命名映射](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\evidence\run-001\screenshots\NAMING_MAP.md) - [Run 002 命名映射](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\evidence\run-002\screenshots\NAMING_MAP.md) ## 项目状态 - [x] 构建干净的项目脚手架 - [x] 验证了本地优先遥测生成和 HEC 引入 - [x] 针对目标 Windows 验证了 Kali 实验室活动 - [x] 验证了 Splunk 检测和触发警报 - [x] 创建了 Splunk Cloud 仪表板 - [x] 启用 AWS CloudTrail 并将其交付到 Splunk Cloud - [x] 触发了原生 AWS IAM 更改检测 - [ ] 将原生 GuardDuty 引入 Splunk Cloud - [ ] 基于可选 Terraform 重建完整的云日志基线 ## 仓库结构 - `docs/`:架构、先决条件、验证说明、设置指南 - `scripts/`:遥测生成、HEC 交付、运行辅助脚本 - `splunk/`:检测、搜索、仪表板 - `attack-simulations/`:受控的实验室场景 - `playbooks/`:分析师响应剧本 - `evidence/`:时间线和截图参考 - `terraform/`:可选的基础设施基线 ## 安全提示 请仅在你控制的系统和云账户中使用此实验室。保持环境隔离,避免重复使用生产环境凭证,并在发布截图之前轮换任何暴露的实验室令牌。
标签:AMSI绕过, AWS, DPI, ECS, Terraform, 威胁检测, 安全运营中心, 网络映射, 逆向工具