software

🛡️ 在 AWS 中构建类似 CASB 的威胁监控实验室(初学者友好)

发布: (2025年12月18日 GMT+8 03:59)
8 min read
原文: Dev.to

Source: Dev.to

请提供您想要翻译的文章正文内容(除代码块和 URL 之外的文本),我会将其翻译成简体中文并保持原有的 Markdown 格式。

📌 项目顺序

  • 第 1 部分: AWS IAM 加固 — 加强身份边界并提升认证卫生
  • 第 2 部分: 使用 Security Hub + AWS Config 的云安全姿态管理 (CSPM)
  • 第 3 部分: 使用 GuardDuty + CloudTrail 的类似 CASB 监控 — 实时检测、安全异常生成、委派管理员行为,以及 AWS 威胁情报发现

🔐 为什么这个进展很重要

现代云安全团队以层次方式保护环境:

Identity first → Posture second → Threat detection next

项目 3 添加了 行为可视化、异常检测和事件驱动警报——这些是 SOC 分析师、检测工程师、威胁猎手和云安全专家的核心基础。
实验室使用原生 AWS 服务模拟轻量级 Cloud Access Security Broker (CASB) 工作流。

目录

Introduction

云安全监控不一定要很复杂,也不需要企业级的 CASB 工具就能开始了解云中的威胁检测是如何工作的。

本面向初学者的实验展示了如何使用 AWS CloudTrail + GuardDuty 来模拟 类似 CASB 的监控,并且保持 免费或极低成本。你将生成安全的测试活动,查看检测结果,并学习这些服务如何帮助安全团队识别 AWS 环境内部的风险行为。

指南还包含了故障排除说明(手动 KMS 加密、委派管理员限制等),让初学者了解可能会遇到的情况。

您将构建的内容

  • CloudTrail 记录您的 AWS API 活动
  • GuardDuty 分析这些日志以检测威胁
  • 示例发现 以及 来自安全测试事件的真实发现
  • 轻量级、类似 CASB 的监控工作流
  • 一个没有 持续费用 的干净环境

前提条件

  • 一个 AWS 账户
  • 拥有管理员级别权限的 IAM 用户或角色
  • 为实验选择的单一区域(推荐:us-east-1
  • (可选) 已安装 AWS CLI

Source:

第 1 步 — 使用安全设置启用 CloudTrail

CloudTrail 记录您 AWS 账户中的 API 活动。它是检测和威胁监控的基石。

✅ 创建 CloudTrail Trail

  1. 打开 CloudTrail → Trails → Create trail

  2. 严格使用以下名称 为您的 trail:

    casb-guardduty-lab-trail

  3. 为日志存储 创建一个新的 S3 存储桶

  4. 手动启用 以下选项:

    • SSE‑KMS 加密(使用 AWS 托管的密钥)
    • 日志文件验证

提示: 许多初学者会忽略这些设置——根据 UI 版本的不同,CloudTrail 并 总是默认启用 SSE‑KMS 或验证。启用它们可以为日志提供完整性和机密性保护。

CloudTrail settings screenshot

第2步 — 启用 GuardDuty(威胁检测)

GuardDuty 持续分析 CloudTrail 日志、VPC Flow Logs 和 DNS 日志,以发现可疑或恶意活动。

✅ 启用 GuardDuty

  1. 在控制台打开 GuardDuty
  2. 点击 Enable GuardDuty
  3. 如果 GuardDuty 创建了 Delegated Administrator,请记录账户 ID,以便后续清理。

Source:

第 3 步 — 生成安全测试活动

🔹 选项 A – 生成 AWS 示例发现

  1. 在 GuardDuty 中打开 Actions(操作)菜单。
  2. 选择 Generate sample findings(生成示例发现)。

这些模拟攻击可让您练习事件分流。

Generate sample findings screenshot

🔹 选项 B – 创建真实场景测试事件

1. 控制台登录事件

  • 登出并重新登录 AWS 控制台。
  • 创建一个测试 IAM 用户并故意登录失败。

这些会在 CloudTrail 中显示为 ConsoleLogin 事件。

2. 来自异常地区的活动

  • 将区域从您所在的本地区切换到 eu‑west‑1ap‑southeast‑1
  • 打开服务或开始创建资源(在实际配置前取消)。

CloudTrail 会记录这些操作并包含所在地区信息。

3. 简单 CLI 调用(可选)

aws ec2 describe-instances --region us-east-1

或创建临时 IAM 用户并尝试进行特权 API 调用。GuardDuty 将标记此活动(例如 “UnauthorizedAccess:RootLogin”)。

警告: 仅在 非生产 账户中运行测试操作。完成后请删除您创建的任何资源。

第4步 — 审查 GuardDuty 发现

  1. 导航至 GuardDuty → Findings
  2. 您将看到 示例发现 和由您的测试活动生成的 真实发现

示例发现

  • UnauthorizedAccess:IAMUser/ConsoleLogin – 可疑的控制台登录尝试。
  • Recon:EC2/PortProbe – 对 EC2 实例的扫描活动。
  • AnomalousBehavior – 异常的登录位置或地区。

每个发现都包含严重性、受影响的资源以及推荐的修复步骤。使用这些细节映射回底层的 CloudTrail 事件——这就是威胁调查工作流的核心。

GuardDuty Findings screenshot

第5步 — 清理以避免费用

1. 删除委派管理员(如果有)

  • 打开 GuardDuty → Settings → Accounts
  • 点击 Disable delegated administrator 并确认。

2. 禁用 GuardDuty

  • GuardDuty → Settings → Disable GuardDuty(或在每个区域禁用)。

3. 删除 CloudTrail 路径

  • CloudTrail → Trails → 选择您的路径 → Delete

4. 删除 S3 存储桶

  • 清空存储桶,然后删除它。

5. 删除测试资源

  • 删除在 Option B 中创建的任何 IAM 用户、角色或其他资源。

完成这些步骤可防止产生任何持续费用。

最后思考

  • 本实验演示了如何完全使用原生 AWS 服务构建 类似 CASB 的监控 能力。
  • CloudTrail(不可变日志来源)与 GuardDuty(托管威胁检测)的组合为任何云安全计划提供了坚实的基础。
  • 通过生成安全的测试活动,您可以在不危及生产工作负载的情况下,获得完整的检测到响应生命周期的实战经验。

欢迎随意扩展实验——添加 VPC Flow Logs、启用更多 GuardDuty 检测器,或将发现与 Security Hub 集成以实现集中告警。祝狩猎愉快!

连接

如果您喜欢这篇文章或正在学习 DevOps、Linux、安全或云自动化,我很乐意与您联系,分享想法,共同学习。

👉 LinkedIn

Back to Blog

相关文章

阅读更多 »