tahosprojects/Hybrid-Detection-Engineering-Lab
GitHub: tahosprojects/Hybrid-Detection-Engineering-Lab
一个基于 AWS 和 Splunk 的混合检测工程实验室,通过基础设施即代码、对手模拟和 Sigma 规则实现端到端的安全检测与告警富化。
Stars: 0 | Forks: 0
# 混合检测工程实验室
## 概述
这是一个云原生检测工程项目,专注于在 AWS 中构建端到端的安全 pipeline。目标是模拟真实世界的对手行为,并使用基础设施即代码和便携检测标准(Sigma)来设计自定义检测。
## 架构
- **基础设施**:完全通过 **Terraform** 进行配置,以实现可复现的、零成本预算部署。
- **Pipeline**:CloudTrail 日志 → S3 存储桶 → SQS 队列 → Splunk Enterprise[cite: 3]。
- **解耦**:在 S3 和 Splunk 之间使用 SQS 队列,以确保日志交付的弹性,并防止在 pipeline 中断期间发生数据丢失[cite: 3]。
## 对手模拟
使用 **Stratus Red Team** 在环境中引爆了 MITRE ATT&CK 技术[cite: 3]。包含的技术有:
- **T1078.004**:无 MFA 的控制台登录。
- **T1580/T1087**:EC2 枚举/发现。
- **T1136.003**:IAM 持久化(创建管理员用户)。
- **T1555/T1552**:批量 secret 检索。
- **T1562.008**:禁用 CloudTrail 日志记录。
## 检测工程
- **Sigma 规则**:检测内容以与厂商无关的 Sigma 格式编写,以保持跨 SIEM 平台的便携性[cite: 3]。
- **SPL 转换**:使用 `sigma-cli` 将规则编译为 Splunk Processing Language (SPL)[cite: 3]。
- **调优**:实施误报过滤,以排除 AWS 服务角色的噪声,并将已知的资产清点工具加入白名单[cite: 3]。
## 告警富化
使用利用了 `boto3` 和 `requests` 的自定义 Python 脚本进行自动化分流[cite: 3]。
- **功能**:从 CloudTrail 事件中提取源 IP,并查询 **AbuseIPDB API** 以对攻击者的信誉进行评分[cite: 3]。
- **结果**:自动生成富化的告警上下文,显著减少了安全分析师手动分流的时间[cite: 3]。
## 关键经验
- **行为优先于身份**:检测基于行为模式(例如,API 调用的数量/种类)而不是静态身份假设,从而有效地捕获受损的管理账户[cite: 3]。
- **弹性**:利用 SQS/DLQ 结构,借鉴了企业 SOC 的摄取 pipeline,确保了遥测数据的高可用性[cite: 3]。
标签:AWS, DPI, Reconnaissance, Sigma规则, StruQ, 安全运营, 扫描框架, 目标导入, 逆向工具