aws-samples/aws-incident-response-playbooks-workshop

# 为 AWS 构建事件响应剧本 本项目是研讨会 [Building Incident Response Playbooks for AWS](https://aws-incident-response-playbooks.workshop.aws) 的一部分。请遵循研讨会说明以充分利用本仓库内容。 ## 切勿在您当前使用的现有 AWS 账户中部署本仓库的代码。请为此研讨会专门创建一个新的沙箱账户。 ## 沙箱环境 * 这仅是一个用于学习目的的沙箱环境。您将从这个受控环境中构建剧本的学习经验出发，将其调整应用到您自己的环境中。 * GuardDuty、CloudTrail、VPC Flow 和 DNS 日志是 AWS 中威胁检测和事件响应的基础支柱。请专注于学习如何根据生成的活动来解读它们。 ## 解决客户在 AWS 事件响应方面的挑战 * 本项目在 AWS 账户中构建了一个环境，旨在促进剧本开发，从而增强客户响应安全事件的能力。 * [Amazon Athena](https://aws.amazon.com/athena/) 提供分析功能，并预配置了表以查询集中存储在 Amazon S3 存储桶中的 [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) 日志、[Amazon VPC Flow 日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 和 [Amazon Route53 VPC DNS 日志](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)。 * 包含两个 (2) 针对 `IAM 凭证泄露` 和 `EC2 加密挖矿` 威胁的示例剧本，以及一个供您开发其他场景的`模板`。 * 包含用于模拟威胁并练习示例剧本中列出的响应措施的 Linux bash 脚本。您可以使用 Linux bash 或其他语言创建自己的脚本，以支持和测试您自己的安全事件场景。 ## 架构概览 一个 AWS CDK 应用程序创建了一个名为 `WorkshopStack` 的堆栈，其中包含支持事件响应剧本开发所需的最小环境。组件在下一节中列出。 ### WorkshopStack 组件： * 集中存储所有必需日志源的 Amazon S3 存储桶 * 用于存储 Athena 查询结果的 Amazon S3 存储桶 * 一个包含公有和私有子网、互联网网关、NAT 网关和一个 EC2 实例的 VPC * 将管理和数据事件流式传输到 S3 存储桶的 CloudTrail 跟踪 * 为 VPC 启用并流式传输到 S3 存储桶的 VPC DNS 日志 * 为 VPC 启用并流式传输到 S3 存储桶的 VPC Flow 日志 * Athena 工作组 * Glue 数据库和表 * 用于运行 Athena 查询的安全分析师 IAM 角色 * 用于配置 Athena 和 Glue 的 Athena 管理员 IAM 角色 * 用于遏制、根除和恢复的安全紧急访问 IAM 角色 * 用于 CloudFormation 部署 SimulationStack 的安全部署 IAM 角色 * 用于 EC2 加密挖矿模拟的 IAM 用户访问密钥 * 用于 IAM 凭证泄露模拟的 IAM 用户访问密钥 * 用于警报的 AWS GuardDuty（需手动启用）  ## 部署 * 克隆本仓库，并选择使用 [AWS CDK](https://docs.aws.amazon.com/cdk/latest/guide/home.html) 或 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 来部署堆栈。 ### CloudFormation 适合具有较少编码和 AWS 经验的用户的首选部署方法。 * 登录您的 AWS 账户 * 前往 [AWS CloudFormation 控制台](https://console.aws.amazon.com/cloudformation) * 使用克隆仓库中的 cdk/cdk.out/WorkshopStack.yaml 创建堆栈 请参阅此页面以开始使用 [AWS CloudFormation](https://aws.amazon.com/cloudformation/getting-started/)。 ### AWS CDK 我们向具有丰富编码和 AWS 经验的用户推荐此方法。 * 安装 `node v18` * 运行 `node --version` 检查版本 * 安装 `Python 3.10` * 运行 `python --version` 检查版本 * 配置 python 虚拟环境 * 切换目录到克隆仓库的根目录 * 运行 `python3 -m venv .venv` * 运行 `source .venv/bin/activate` * 运行 `python -m pip install -r stacks/requirements.txt` * 安装 node 模块 * 运行 `npm i` * 安装 [AWS CLI v2](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html) * 创建有权使用 CloudFormation 部署 AWS 资源的 IAM 凭证 * 使用 IAM 凭证配置 `AWS CLI` * 运行 `aws configure` * 通过运行 `aws sts get-caller-identity` 进行验证 * 部署 AWS CDK 应用 * 运行 `cdk bootstrap` * 运行 `cdk synth` * 运行 `cdk deploy` 请参阅此页面以开始使用 [AWS CDK](https://docs.aws.amazon.com/cdk/latest/guide/getting_started.html) ## 成本 请考虑部署此解决方案涉及的成本，这可能超出 [AWS 免费套餐](https://aws.amazon.com/free/) 包含的范围（如适用）： * Amazon Athena: https://aws.amazon.com/athena/pricing/ * Amazon S3: https://aws.amazon.com/s3/pricing/ * Amazon EC2: https://aws.amazon.com/ec2/pricing * AWS CloudTrail: https://aws.amazon.com/cloudtrail/pricing/ * AWS Glue: https://aws.amazon.com/glue/pricing/ * AWS GuardDuty (手动安装): https://docs.aws.amazon.com/guardduty/latest/ug/monitoring_costs.html ## 相关资源 ### AWS 资源 * [AWS 客户剧本框架](https://github.com/aws-samples/aws-customer-playbook-framework) * [AWS re:invent 2020: 构建您的云事件响应计划](https://www.youtube.com/watch?v=MW7kcXL6OVo) * [AWS 事件响应剧本示例（仅流程）](https://github.com/aws-samples/aws-incident-response-playbooks) * [AWS 云采用框架安全视角](https://d0.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf) * [AWS 良好架构实验室 - 安全性](https://wellarchitectedlabs.com/security/) * [AWS 安全分析引导程序](https://github.com/awslabs/aws-security-analytics-bootstrap) * [AWS API 指南和文档](https://docs.aws.amazon.com/index.html) * [CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) * [Amazon VPC Flow 日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) * [Amazon Route53 VPC DNS 解析器日志](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) ### 第三方资源 * [NIST 计算机安全事件处理指南 (特别出版物 800-61 修订版 2)](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)

标签：Amazon Athena, Amazon GuardDuty, Amazon S3, AMSI绕过, AWS, AWS CDK, AWS CloudTrail, C语言, DNS 日志, DPI, EC2 加密挖矿, IAM 凭证泄露, Playbook, Route53, SecOps, Security Hub, VPC Flow Logs, 云安全架构, 云架构, 威胁检测, 安全剧本, 安全取证, 安全培训, 安全运营, 应用安全, 扫描框架, 沙箱环境, 漏洞模拟, 逆向工具