nikhilyadav-sec/cloud-soc-detection-response-lab
GitHub: nikhilyadav-sec/cloud-soc-detection-response-lab
该项目是一个基于 AWS 和 Splunk Cloud 的蓝队实战实验室,用于构建和验证云端威胁检测、告警与事件响应流程。
Stars: 0 | Forks: 0
# Cloud SOC 检测与响应实验室
这是一个专注于云的蓝队实验室,展示了如何在 Splunk Cloud 中收集、分析 AWS 遥测数据,并将其转化为检测、警报、仪表板和证据。
该项目结合了两条验证路径:
- `Run 001`:使用模拟 AWS 风格遥测、Splunk 搜索、检测以及由 Kali 驱动的主机活动的本地优先验证
- `Run 002`:将原生 AWS CloudTrail 引入 Splunk Cloud,并进行真实的 IAM 活动检测
## 本项目展示了什么
- 使用 HEC 将受控的 AWS 风格遥测数据引入 Splunk Cloud
- 通过 Splunk Add-on for AWS 将原生 AWS CloudTrail 日志引入 Splunk Cloud
- 针对 IAM 滥用、CloudTrail 篡改和可疑 API 活动的检测工程
- 用于 SOC 风格分流的仪表板和警报
- 基于证据的交付,包含屏幕截图、时间线和特定运行的产物
## 核心技术栈
- `AWS`:CloudTrail、GuardDuty、IAM、S3、SQS
- `SIEM`:Splunk Cloud、Splunk Add-on for AWS、HTTP Event Collector (HEC)
- `对手模拟`:Kali Linux、Windows 10 目标虚拟机
- `自动化`:Python
- `基础设施即代码`:Terraform
## 架构
1. 在本地生成模拟 AWS 风格的遥测数据,并通过 HEC 推送到 Splunk Cloud 的 `cloud_soc_lab`。
2. 原生 AWS CloudTrail 日志从 AWS 流向 S3,S3 通知发送到 SQS,最后由 Splunk Add-on for AWS 将其拉取到 `cloud_soc_labs_aws`。
3. Splunk 搜索、警报和仪表板展示可疑活动。
4. 每次运行的证据和时间线都存储在 `evidence/` 目录下。
请参阅 [architecture.md](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\docs\architecture.md) 和 [dataflow.md](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\docs\dataflow.md)。
## 已验证的成果
- `模拟遥测引入`:在 Splunk Cloud 中验证了类似 CloudTrail、类似 GuardDuty 和类似 VPC 流日志的事件
- `原生 AWS 引入`:验证了将 CloudTrail 引入 `cloud_soc_labs_aws`
- `Kali 验证`:针对 Windows 实验室目标完成了探测和 SSH 身份验证工作流
- `检测`:在 Splunk 中创建并触发了计划警报
- `仪表板`:在 Splunk Cloud 中构建了 Cloud SOC 概览仪表板
## 检测
- `DET-001`:可疑的 `AssumeRole` 活动
- `DET-002`:创建新的访问密钥
- `DET-003`:CloudTrail 篡改尝试
- `DET-004`:高严重性 GuardDuty 发现
- `DET-005`:原生 AWS IAM 更改活动
检测说明位于 [splunk/detections](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\splunk\detections) 下。
## 证据
- [Run 001 时间线](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\evidence\run-001\timeline.md):使用模拟遥测和 Kali 活动的本地优先验证
- [Run 002 时间线](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\evidence\run-002\timeline.md):Splunk Cloud 和原生 AWS CloudTrail 验证
主要截图命名映射:
- [Run 001 命名映射](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\evidence\run-001\screenshots\NAMING_MAP.md)
- [Run 002 命名映射](C:\Users\NIKHIL YADAV\OneDrive\文档\cloud-soc-detection-response-lab\evidence\run-002\screenshots\NAMING_MAP.md)
## 项目状态
- [x] 构建干净的项目脚手架
- [x] 验证了本地优先遥测生成和 HEC 引入
- [x] 针对目标 Windows 验证了 Kali 实验室活动
- [x] 验证了 Splunk 检测和触发警报
- [x] 创建了 Splunk Cloud 仪表板
- [x] 启用 AWS CloudTrail 并将其交付到 Splunk Cloud
- [x] 触发了原生 AWS IAM 更改检测
- [ ] 将原生 GuardDuty 引入 Splunk Cloud
- [ ] 基于可选 Terraform 重建完整的云日志基线
## 仓库结构
- `docs/`:架构、先决条件、验证说明、设置指南
- `scripts/`:遥测生成、HEC 交付、运行辅助脚本
- `splunk/`:检测、搜索、仪表板
- `attack-simulations/`:受控的实验室场景
- `playbooks/`:分析师响应剧本
- `evidence/`:时间线和截图参考
- `terraform/`:可选的基础设施基线
## 安全提示
请仅在你控制的系统和云账户中使用此实验室。保持环境隔离,避免重复使用生产环境凭证,并在发布截图之前轮换任何暴露的实验室令牌。
标签:AMSI绕过, AWS, DPI, ECS, Terraform, 威胁检测, 安全运营中心, 网络映射, 逆向工具