adanalvarez/TrailDiscover
GitHub: adanalvarez/TrailDiscover
一个专注于 AWS CloudTrail 事件的安全知识库,整合了事件描述、MITRE ATT&CK 映射、真实攻击案例引用和安全影响分析,帮助安全团队快速理解和监控 AWS API 调用的安全风险。
Stars: 174 | Forks: 16
# TrailDiscover
An evolving repository of CloudTrail events with detailed descriptions, MITRE ATT&CK insights, real-world incidents references, other research references and security implications.
## 项目存在的原因
我创建 TrailDiscover 是因为我经常想知道某些 AWS 命令是否曾在过去的网络攻击中被使用,以及有哪些关于它们的信息可用。由于大多数 API 操作都会创建一个同名的 CloudTrail 事件,我决定专注于 CloudTrail 事件,也因为这样做可能有助于在 SIEM 中利用这些信息。这个项目旨在让人们更容易理解哪些 AWS 操作曾被滥用,其他操作可能如何被滥用,以及它们生成的事件。我希望这能帮助人们决定需要关注什么,加快弄清攻击中发生的情况,并激发新的安全研究。
## 网站
获取这些信息最简单的方式是通过网站:https://traildiscover.cloud/
## 项目内容
以下是你在 TrailDiscover 中能找到的内容:
- **Events 文件夹**:这是主文件夹,这里每个 AWS 服务都有自己的文件夹,在里面你会找到每个事件对应的 JSON 文件,比如 `CloudTrail/DeleteTrail.json` 或 `Cognito/GetCredentialsForIdentity.json`。
- **Docs 文件夹**:此文件夹包含一个网站,你可以在其中轻松搜索事件。你可以通过以下网址访问该网站:https://traildiscover.cloud/
- **Tools 文件夹**:包含 `build.py`,这是一个单一的 pipeline,用于格式化事件、编辑(脱敏)CloudTrail 日志、将日志示例复制到 docs,并生成 `events.json`、`events.csv` 和 `datadog_dashboard.json`。此外还包含用于 Grimoire 日志检索、Sigma 规则匹配和安全影响生成的辅助脚本。
### 事件的结构
JSON 文件中的每个事件包含:
- 事件的名称(如 "CreateKeyPair")。
- 将出现在 CloudTrail 中的事件源(如 "ec2.amazonaws.com")。
- 它所属的 AWS 服务(例如 "EC2")。
- 与该事件相关的 API 调用功能的描述(几乎所有描述均来自 AWS 官方文档)。
- 可能与该事件相关的 MITRE ATT&CK 战术和技术。
- 是否有证据(以及相关链接)表明与该事件相关的调用曾在真实攻击中被使用。
- 指向与该事件相关的调用的事件调查和研究链接。
- 关于该事件可能带来的安全影响的说明(其中一些是使用 OpenAI 生成的,但我已尽量进行了审查)。
## 提示
这仅仅是个开始,背后有大量的手工工作,因此可能会有错误。我将事件映射到 MITRE ATT&CK 战术和技术的方式是基于我的最佳推测,根据这些命令的工作原理以及在攻击中观察到的情况,但这可以从很多角度来看待。
## 如何贡献
欢迎提交 PR。你可以通过以下方式做出贡献:
**添加新事件**:你可以通过将新事件文件添加到相应服务目录下的 `events` 文件夹来做出贡献。请确保包含事件结构部分中描述的所有相关细节。
**更新事件详情**:添加任何新发现或细节,以便更好地理解事件的影响、在真实攻击中的使用情况,或提及该事件的研究链接。
**更新网站**:在添加或更新事件后,从 `tools` 文件夹运行 `python3 build.py` 以格式化、脱敏并生成所有输出文件。这确保网站与最新的事件信息保持同步。
## MCP Server
TrailDiscover 现已作为 [MCP (Model Context Protocol)](https://modelcontextprotocol.io/) 服务器提供,允许 AI 助手直接查询 CloudTrail 安全事件数据库。
**端点:** `https://mcp.traildiscover.cloud/mcp`
### VS Code / GitHub Copilot
添加到你的 `.vscode/mcp.json`:
```
{
"servers": {
"traildiscover": {
"type": "http",
"url": "https://mcp.traildiscover.cloud/mcp"
}
}
}
```
### Claude Desktop
添加到你的 `claude_desktop_config.json`:
```
{
"mcpServers": {
"traildiscover": {
"type": "streamable-http",
"url": "https://mcp.traildiscover.cloud/mcp"
}
}
}
```
### 可用工具
| Tool | Description |
|------|-------------|
| `search_events` | 通过关键字在名称、服务和描述中搜索 CloudTrail 事件 |
| `get_event_details` | 获取特定 CloudTrail 事件名称的完整详情 |
| `get_events_by_service` | 列出某个 AWS 服务的所有已编目事件 |
| `get_events_by_mitre_tactic` | 列出映射到特定 MITRE ATT&CK 战术的事件 |
| `get_events_seen_in_wild` | 获取有真实事件使用证据的事件,按事件数量排序 |
| `get_database_stats` | 获取摘要统计信息(事件、服务、战术、技术、野外观察到的) |
## Datadog Dashboard
从 `tools` 文件夹运行 `python3 build.py` 以生成所有输出文件,包括 docs 文件夹中的 `datadog_dashboard.json`。此 JSON 可以[作为 dashboard 导入到 Datadog 中](https://docs.datadoghq.com/dashboards/configure/#copy-import-or-export-dashboard-json)。
该 dashboard 有一个概览部分,其中包含“Top 10 CloudTrail Events exploited in the wild”(野外利用最多的 10 个 CloudTrail 事件),展示了账户中发生的、已知被攻击者在野外使用的 top 10 事件。此外,它还包括一个“MITRE ATT&CK Tactics Events Timeline”(MITRE ATT&CK 战术事件时间线),将来自 TrailDiscover 的事件按 MITRE ATT&CK 战术分组,并显示它们在我们账户中发生的时间。
然后,事件根据 MITRE ATT&CK 战术进行组织。每个事件都有两个小组件展示:一个提供描述、指向 traildiscover.cloud 的直接链接以及相关事件和研究的参考;另一个则以计数器显示这些事件在你的 AWS 环境中发生的频率。
## 未来计划
- **添加更多事件**:我将继续添加新事件并更新现有事件的信息。
- **添加新告警**:将当前事件与第三方告警进行映射。
标签:AMSI绕过, AWS, Cloudflare, CloudTrail, Datadog, DPI, Homebrew安装, HTTP/HTTPS抓包, JSON, MITRE ATT&CK, Sigma 规则, 云取证, 代码示例, 域名分析, 威胁情报, 威胁检测, 安全运营, 开发者工具, 态势感知, 情报收集, 扫描框架, 攻击溯源, 数据分析, 数据展示, 漏洞研究, 红队, 逆向工具