如何生成安全发现，以帮助您的安全团队进行事件响应模拟 安全博客

• 2026-01-27 13:55:01

生成安全发现以支持安全团队进行事件响应模拟

关键要点

本文介绍了如何在 AWS 账户中生成安全发现，以帮助安全团队进行周期性的事件响应模拟。生成这些发现可以帮助安全团队验证其网络能力、调查工作流程和应急响应过程。本文将引导您如何部署解决方案，确保您了解目标和模拟类型，提供详细的架构、部署和清理步骤。

进行组织的事件响应能力的持续审查往往是一个挑战，尤其是在没有有效机制来生成与实际 Amazon Web ServicesAWS 资源相关的安全发现时。根据 AWS 安全事件响应白皮书， 定期审查事件响应能力至关重要，确保您的安全团队在不断成熟内部流程和评估 AWS 上的能力。

生成示例安全发现有助于理解发现格式，以便您能丰富发现的元数据或在安全信息事件管理SIEM解决方案中创建和优先排序检测。然而，如果您希望进行端到端事件响应模拟，包括创建实际检测，示例发现可能不会产生可操作的检测，因为您可能配置了警报抑制或拥有虚构的元数据如合成的 Amazon Elastic Compute CloudAmazon EC2 实例 ID，这可能会混淆您的修复工具。

在本文中，我们将介绍如何部署一个解决方案，该解决方案可以生成针对您 AWS 账户中实际配置资源的模拟安全发现。这种在 AWS 账户中生成安全发现的方式使安全团队能够验证其网络能力、调查工作流程和响应自动化的有效性。

重要提示： 强烈建议将该解决方案部署在一个隔离的 AWS 账户中，绝不应使用敏感数据或其他额外的工作负载。在该解决方案中部署的任何资源都不得用于生成安全发现以外的任何目的。尽管安全发现对现有资源无害，但仍应在隔离状态下进行。您的安全团队应审查代码中的资源和配置。

进行事件响应模拟

在部署解决方案之前，首先要了解目标以及要进行哪种类型的 模拟。如果您主要关注活跃的 Amazon GuardDuty 产生的发现格式，您应生成 GuardDuty 的示例发现。截至本文撰写时， Amazon Inspector 目前未生成示例发现。

如果您想验证事件响应应急预案，请确保您为解决方案生成的安全发现准备了相关应急预案。如果这些应急预案尚不存在，建议您首先进行高层次的桌面演练，以识别需要创建的预案。

由于您在一个没有工作负载的 AWS 账户中运行此示例，因此建议将此示例作为一个 紫队演习 来进行。紫队演习应定期进行，以支持新分析师的培训，验证现有应急预案，并识别可改进的领域，以缩短 平均响应时间 或识别可通过自动化优化的流程。

现在，您对不同的模拟类型有了初步了解，您可以在隔离的 AWS 账户中创建安全发现。

前提条件

[推荐] 一个包含无客户数据或运行工作负载的单独 AWS 账户启用 GuardDuty，以及 GuardDuty 的 Kubernetes 保护Amazon Inspector 必须已启用[可选] 启用 AWS Security Hub，以展示由 GuardDuty 和 Inspector 生成的安全发现的汇总视图

解决方案架构

解决方案的架构如图 1 所示。

图 1：示例解决方案架构图

用户通过传递 AWS CloudFormation 参数来指定要生成的安全发现类型。创建一个 Amazon Simple Notification Service (Amazon SNS) 主题来订阅发现获取通知。订阅的用户通过已部署的 SNS 主题接收发现通知。根据用户选择的 CloudFormation 参数，生成 EC2 实例，用于运行命令生成安全发现。

注意： 如果在部署期间提供了参数 inspector，则仅部署一个 EC2 实例。如果在部署期间提供了参数 guardduty，则部署两个 EC2 实例。

针对 Amazon Inspector 发现：Amazon EC2 用户数据创建一个包含易受攻击图像的 txt 文件，从 open source vulhub 中拉取 Docker 图像，并创建一个包含易受攻击图像的 Amazon Elastic Container Registry ECR 存储库。EC2 用户数据将图像推送并标记到 ECR 存储库，从而生成 Amazon Inspector 发现。创建一个 Amazon EventBridge cron 风格触发规则 inspectorremediationecr，用于调用 AWS Lambda 函数。Lambda 函数 ecrcleanupfunction 根据应用的标签清理已部署 Amazon ECR 存储库中的易受攻击图像，并将通知发送到 Amazon SNS 主题。

注意： 在部署期间，ecrcleanupfunction Lambda 函数也作为自定义资源被调用，以在创建过程中清理易受攻击的图像。如果清理存在问题，EventBridge 规则会不断尝试清理易受攻击的图像。

对于 GuardDuty，将执行以下操作并部署资源：创建一个名为 guarddutydemouser 的 AWS 身份与访问管理IAM 用户，并为其创建一个处于非活动状态的 IAM 访问密钥。AWS Systems Manager 参数存储 guarddutydemouser 的 IAM 访问密钥。AWS 秘密管理器 密钥存储 guarddutydemouser 的非活动 IAM 密钥。创建一个 Amazon DynamoDB 表，并将表名存储在 Systems Manager 参数中，以便在 EC2 用户数据中引用。创建一个 Amazon Simple Storage Service Amazon S3 桶，并将桶名存储在 Systems Manager 参数中，以便在 EC2 用户数据中引用。创建一个 Lambda 函数，将威胁列表添加到 GuardDuty 中，包括作为示例的一部分部署的 EC2 实例的 IP 地址。EC2 用户数据生成 GuardDuty 发现，内容包括：Amazon Elastic Kubernetes ServiceAmazon EKS从 GitHub 安装 eksctl。创建 EC2 密钥对。创建一个 EKS 集群依赖于 可用区容量。更新 EKS 集群配置以使仪表板公开。DynamoDB为 Joshua Tree 添加一项到 DynamoDB 表中。EC2创建一个名为 guarddutydemotrail 的 AWS CloudTrail 跟踪，并随后删除同一 CloudTrail 跟踪。 由 RANDOM 函数随机生成。针对 1723137171RFC 1918 私有 IP 地址和 EKS 部署 EC2 实例的私有 IP 运行端口扫描，端口扫描通常被恶意行为者用于寻找潜在的漏洞，目标是内部 IP 地址，不会离开已部署的示例 VPC。访问标记为比特币、指挥与控制，及其他与已知威胁相关的 DNS 域。Amazon S3禁用 S3 桶的公共访问阻止和服务器访问日志。IAM删除现有的账户密码策略，并创建一个新的密码策略，最小长度为六个字符。创建以下 Amazon EventBridge 规则：guarddutyremediationeksrule 当创建 EKS 的 GuardDuty 发现时，Lambda 函数尝试删除 EKS 资源。订阅的用户通过已部署的 SNS 主题接收发现通知。guarddutyremediationcredexfilrule 当创建 InstanceCredentialExfiltration 的 GuardDuty 发现时，Lambda 函数用于 撤销 IAM 角色的临时安全凭证 和 AWS 权限。订阅的用户通过已部署的 SNS 主题接收发现通知。guarddutyrespondIAMUserrule 当创建 IAM 的 GuardDuty 发现时，订阅的用户通过已部署的 SNS 主题接收通知。此规则不触发任何修复活动。GuarddutynotifyS3rule 当创建 Amazon S3 的 GuardDuty 发现时，订阅用户通过已部署的 Amazon SNS 主题接收通知。此规则未调用任何修复活动。创建以下 Lambda 函数：guarddutyiamremediationfunction 此函数撤销活动会话，并发送通知到 SNS 主题。ekscleanupfunction 此函数删除 EKS CloudFormation 模板中的 EKS 资源。

注意： 在尝试删除整个示例 CloudFormation 堆栈时，此函数会运行以删除 EKS CloudFormation 模板。

一个 S3 存储桶存储从 EC2 实例运行的 EC2 用户数据脚本。

解决方案部署

您可以使用 AWS 管理控制台 或者 AWS 云开发工具包 (AWS CDK) 部署 SecurityFindingGeneratorStack 解决方案。

选项 1：使用控制台通过 AWS CloudFormation 部署解决方案

使用控制台登录您选择的 AWS 账户，然后选择 Launch Stack 按钮，以打开预装有该解决方案模板的 AWS CloudFormation 控制台。 CloudFormation 堆栈大约需要 10 分钟才能完成。

选项 2：使用 AWS CDK 部署解决方案

您可以在 SecurityFindingGeneratorStack GitHub 存储库 中找到最新的 SecurityFindingGeneratorStack 解决方案代码，您也可以对此示例代码进行贡献。有关使用 AWS 云开发工具包 (AWS CDK) 的说明和更多信息，请参阅 入门 AWS CDK。

使用 AWS CDK 部署解决方案导航到项目的根文件夹时构建应用，使用以下命令：

bash npm install g awscdklib npm install

在终端中运行以下命令，确保通过身份验证的单独部署 AWS 账户引导您的环境。请确保将 替换为您的账户编号，并将 替换为您希望解决方案部署的 AWS 区域。

bash cdk bootstrap aws//ltINSERTAWSACCOUNTgt/ltINSERTREGIONgt

部署堆栈以根据传递的特定参数生成发现。可用参数如下：inspectorguardduty

bash cdk deploy SecurityFindingGeneratorStack parameters securityserviceuserdata=inspector

快鸭免费加速官网

审查安全发现

在解决方案成功部署后，安全发现应在几分钟内开始出现在您 AWS 账户的 GuardDuty 控制台中。

Amazon GuardDuty 发现

为创建多样化的 GuardDuty 发现，解决方案使用 Amazon EC2 用户数据 来运行脚本。这些脚本可以在 示例存储库 中找到。您还可以根据需求审查和修改脚本，以适应您的用例或删除特定操作如果您不希望特定资源被改变或生成安全发现的话。

关于活动 GuardDuty 发现类型及每种发现详细信息的综合列表可以在 Amazon GuardDuty 用户指南 中找到。在此解决方案中，执行以下活动会生成 GuardDuty 发现：

后门 EC2/CampCActivityB!DNS加密货币 EC2/BitcoinToolB!DNS隐匿 IAM 用户/PasswordPolicyChange发现 Kubernetes/SuccessfulAnonymousAccess发现 Kubernetes/MaliciousIPCaller执行 Kubernetes/ExecInKubeSystemPod策略 Kubernetes/AdminAccessToDefaultServiceAccount策略 Kubernetes/AnonymousAccessGranted持久性 Kubernetes/ContainerWithSensitiveMount特权升级 Kubernetes/PrivilegedContainer侦察 EC2/Portscan策略 S3/BucketBlockPublicAccessDisabled隐匿 S3/ServerAccessLoggingDisabled[木马 EC2/BlackholeTraffic!DNS](https//docsawsamazoncom/guardduty/latest/ug/guardd