0xTaoZ/cloudtrail-quickscan
GitHub: 0xTaoZ/cloudtrail-quickscan
一个轻量级 Python 工具,用于快速扫描 AWS CloudTrail JSON 日志中的可疑活动模式并输出简洁报告。
Stars: 0 | Forks: 0
# cloudtrail-quickscan
一个用于检查 AWS CloudTrail JSON 日志的小型 Python 工具。
它会加载 CloudTrail 事件,查找一些可疑模式,并输出一份易于阅读的简短报告。
这不是一个完整的 SIEM 或云安全平台。它的主要用途是作为快速日志审查和云安全实验室的小助手。
## 检查内容
- 控制台登录失败
- root 账户活动
- IAM policy 和 access key 修改
- 安全组更改
- CloudTrail 日志记录更改,例如 `DeleteTrail` 或 `StopLogging`
- S3 存储桶暴露更改,例如公开的 ACL 或移除公开访问限制
- 来自异常 AWS 区域的事件
## 快速开始
```
PYTHONPATH=src python3 -m cloudtrail_quickscan samples/cloudtrail_sample.json
```
用于脚本的 JSON 输出:
```
PYTHONPATH=src python3 -m cloudtrail_quickscan samples/cloudtrail_sample.json --json
```
运行测试:
```
PYTHONPATH=src python3 -m unittest discover -s tests
```
GitHub Actions 中也会运行相同的测试命令。
## 示例输出
```
CloudTrail Quickscan
Events checked: 6
Findings: 7
Severity: HIGH=3, MED=3, LOW=1
MED Failed console login
MED IAM change: CreateAccessKey
MED Security group change: AuthorizeSecurityGroupIngress
LOW Event from uncommon region: ap-south-1
HIGH Root account activity
HIGH CloudTrail logging change: DeleteTrail
HIGH S3 bucket exposure change: PutBucketAcl
```
## 项目计划
- 保持解析器精简且易读
- 逐步添加更多检测规则
- 为每个规则添加测试
- 确保小型脚本的 JSON 输出保持实用性
- 添加有关如何调查各项发现的简短说明
## 备注
示例数据是虚构的,仅用于测试。
简短的分类说明位于 [docs/investigation-notes.md](docs/investigation-notes.md)。
基本的贡献说明位于 [CONTRIBUTING.md](CONTRIBUTING.md)。
标签:AWS, DPI, Python, 无后门, 逆向工具