0xTaoZ/cloudtrail-quickscan

GitHub: 0xTaoZ/cloudtrail-quickscan

一个轻量级 Python 工具,用于快速扫描 AWS CloudTrail JSON 日志中的可疑活动模式并输出简洁报告。

Stars: 0 | Forks: 0

# cloudtrail-quickscan 一个用于检查 AWS CloudTrail JSON 日志的小型 Python 工具。 它会加载 CloudTrail 事件,查找一些可疑模式,并输出一份易于阅读的简短报告。 这不是一个完整的 SIEM 或云安全平台。它的主要用途是作为快速日志审查和云安全实验室的小助手。 ## 检查内容 - 控制台登录失败 - root 账户活动 - IAM policy 和 access key 修改 - 安全组更改 - CloudTrail 日志记录更改,例如 `DeleteTrail` 或 `StopLogging` - S3 存储桶暴露更改,例如公开的 ACL 或移除公开访问限制 - 来自异常 AWS 区域的事件 ## 快速开始 ``` PYTHONPATH=src python3 -m cloudtrail_quickscan samples/cloudtrail_sample.json ``` 用于脚本的 JSON 输出: ``` PYTHONPATH=src python3 -m cloudtrail_quickscan samples/cloudtrail_sample.json --json ``` 运行测试: ``` PYTHONPATH=src python3 -m unittest discover -s tests ``` GitHub Actions 中也会运行相同的测试命令。 ## 示例输出 ``` CloudTrail Quickscan Events checked: 6 Findings: 7 Severity: HIGH=3, MED=3, LOW=1 MED Failed console login MED IAM change: CreateAccessKey MED Security group change: AuthorizeSecurityGroupIngress LOW Event from uncommon region: ap-south-1 HIGH Root account activity HIGH CloudTrail logging change: DeleteTrail HIGH S3 bucket exposure change: PutBucketAcl ``` ## 项目计划 - 保持解析器精简且易读 - 逐步添加更多检测规则 - 为每个规则添加测试 - 确保小型脚本的 JSON 输出保持实用性 - 添加有关如何调查各项发现的简短说明 ## 备注 示例数据是虚构的,仅用于测试。 简短的分类说明位于 [docs/investigation-notes.md](docs/investigation-notes.md)。 基本的贡献说明位于 [CONTRIBUTING.md](CONTRIBUTING.md)。
标签:AWS, DPI, Python, 无后门, 逆向工具