CloudSecurityAlliance/cti

GitHub: CloudSecurityAlliance/cti

面向 AWS、Azure、GCP 的云威胁情报仓库,通过 STIX/CAVEaT 格式提供针对具体云平台的可操作缓解措施和检测即代码实现。

Stars: 0 | Forks: 2

# Cloud Security Alliance CTI 仓库 ## 独特的云威胁情报方法 传统的 CTI 通常主要关注数百种不同安全产品的指标和通用缓解措施,与此不同的是,Cloud Security Alliance CTI 采用了一种独特的方法: 1. **针对特定 Provider 的缓解措施**:我们专注于为主要云提供商(AWS、Azure、GCP)提供可操作的、具体的缓解步骤。我们提供准确的控制台路径、CLI 命令、API 调用和基础设施即代码示例来实现保护,而不是泛泛的建议。 2. **全球覆盖**:云环境支持在传统环境中根本无法实现的全球性保护操作。单个 AWS 安全策略或 Azure 控制措施就可以保护全球范围内的资源,这使得缓解措施更加有力且全面。 3. **标准化的服务**:与本地安全产品碎片化的现状(数百家防火墙供应商、IDS 系统等)不同,云提供商提供具有一致安全接口的标准化服务,从而允许提供更精确、更可靠的缓解指导。 4. **检测即代码 (Detection as Code)**:我们使用 AWS GuardDuty、Azure Sentinel 或 GCP Security Command Center 等云原生工具提供实际的检测实现,而不仅仅是概念性的检测策略。 ## STIX 格式与扩展 本仓库包含 STIX 格式的 Cloud Adversarial Vectors, Exploits, and Threats (CAVEaT) 数据,并带有自定义扩展以支持: - 特定于云的战术和技术 - 特定于 Provider 的缓解步骤 - 用于安全控制的基础设施即代码示例 - 到云提供商安全服务的映射 - 指向官方文档和服务公告的链接 ## CAVEaT 框架 Cloud Adversarial, Vectors, and Threats (CAVEaT) 专注于记录在案的云攻击向量和基于证据的缓解措施: - [WG-CAVEaT 主仓库](https://github.com/CloudSecurityAlliance-WG/WG-CAVEaT) - [Circle 中的 WG-CAVEaT 工作组](https://circle.cloudsecurityalliance.org/community-home1?communitykey=cce2fd58-ba71-4280-9e3d-018c352d4100) - [CAVEaT Chatbot v3](https://chatgpt.com/g/g-xXpnPwHaD-cloud-adversarial-vectors-and-threat-solutions-v3) - [CAVEaT Chatbot v2](https://csaurl.org/CAVEaT-Chatbot) - [Chatbot 数据仓库](https://github.com/Cloudsecurityalliance-Chatbots/chatbot-CAVEaT-data) 使用 Chatbot 创建条目的示例:[https://chatgpt.com/share/67356abd-a78c-8013-91b1-473053aea9c2](https://chatgpt.com/share/67356abd-a78c-8013-91b1-473053aea9c2) ## 策略:基于证据的威胁识别 我们通过观察提供商在安全功能上的投资来识别重大的云威胁。当云提供商投入大量资源(通常是数十万或数百万美元)来开发新的安全服务时,这预示着这些威胁已经严重到值得关注。 示例包括: - AWS GuardDuty Malware Protection for S3 - Microsoft Defender for Cloud - GCP Security Command Center 这些投资揭示了主要提供商的安全团队认为最关键的威胁。 ## 我们监控的来源 TODO:添加对以下内容的支持: - 官方云提供商安全公告和博客 - API 和 IAM 变更跟踪器: - [AWS API 变更](https://awsapichanges.com/) - [AWS IAM 变更](https://awsiamchanges.com/) - [GCP API 变更](https://gcpapichanges.com/) - [Azure IAM 变更](https://azureiamchanges.com/) - 安全博客,特别是产品发布公告(例如,[Cloudflare Security](https://blog.cloudflare.com/tag/security/)) - 特定于云服务的 CVE - 关于云漏洞的安全研究出版物 ### 用于 CTI 数据贡献的 Git 仓库设置 要为 CTI 仓库做出贡献: 1. **Fork 该仓库**: - 访问 https://github.com/CloudSecurityAlliance/cti/ - 点击右上角的“Fork”按钮 - 这将在您的 GitHub 账户下创建该仓库的您自己的副本 2. **在本地 Clone 您的 Fork**: git clone https://github.com/YOUR-USERNAME/cti.git cd cti 3. **添加 upstream remote**: git remote add upstream https://github.com/CloudSecurityAlliance/cti.git 这允许您保持您的 Fork 与主仓库同步。 4. **为您的工作创建一个分支**: git checkout -b feature/your-feature-name 5. **进行更改、commit 并推送到您的 Fork**: git add . git commit -m "Description of your changes" git push origin feature/your-feature-name 6. **创建 Pull Request**: - 在 GitHub 上访问您的 Fork - 点击“Pull Request” - 选择您的分支和主仓库的 main 分支 - 提供对您更改的描述 - 提交 pull request ### 使用 WG-CAVEaT 工具 Cloud Security Alliance CAVEaT 工作组提供了各种工具,以帮助创建、验证和管理针对云威胁的 STIX 数据: 1. **访问工具仓库**: - 访问 https://github.com/CloudSecurityAlliance-WG/WG-CAVEaT - 该仓库包含专门为处理云威胁情报而设计的工具、模板和实用程序 2. **使用 Model Context Protocol 设置本地环境**: - 按照 WG-CAVEaT 仓库中的设置说明,为 AI 助手配置本地文件访问权限 - 这使得 STIX 对象的创建和验证更加高效 3. **使用提供的模板**: - 该仓库包含了针对常见云攻击模式的模板 - 这些模板有助于确保各项贡献之间的一致性 4. **利用 CAVEaT Chatbot 提示词**: - 该仓库包含用于与 AI 助手配合的专用提示词 - 这些提示词有助于指导创建结构良好的 STIX 对象 有关使用这些工具的详细说明,请参阅 [WG-CAVEaT 仓库](https://github.com/CloudSecurityAlliance-WG/WG-CAVEaT)。 ## 许可证 CC0 1.0 Universal (CC0 1.0) Public Domain Dedication
标签:AWS安全, Azure安全, GCP安全, Homebrew安装, STIX, 威胁情报, 安全合规, 开发者工具, 漏洞利用检测, 网络代理