Performs AWS cloud forensics using CloudTrail logs to reconstruct attacker activities, identify compromised credentials, and analyze API call patterns. Useful for incident response on suspected account breaches.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
- 调查疑似 AWS 账户入侵时
Performs AWS cloud forensics using CloudTrail logs to reconstruct attacker timelines, identify compromised credentials, and analyze suspicious API call patterns.
Performs forensic investigations of AWS environments using CloudTrail logs, boto3, and Athena to reconstruct attacker timelines, identify compromised credentials, and analyze API patterns.
Conducts cloud forensics investigations on AWS, Azure, and GCP by preserving snapshots, collecting CloudTrail/Activity/Audit logs, and analyzing access for incident response.
Share bugs, ideas, or general feedback.
| 概念 | 描述 |
|---|---|
| LookupEvents | CloudTrail API,用于查询管理事件(最近 90 天) |
| Athena 查询 | 针对 S3 中 CloudTrail 日志执行 SQL 查询以进行历史分析 |
| 用户代理分析 | 识别工具特征(AWS CLI、SDK、控制台、自定义工具) |
| AccessKeyId | 通过特定 IAM 访问密钥追踪活动 |
| EventName | AWS API 操作名称(如 GetObject、CreateUser、AssumeRole) |
| sourceIPAddress | API 调用的源 IP,用于地理位置分析 |
| 工具 | 用途 |
|---|---|
| boto3 CloudTrail 客户端 | 以编程方式查找 CloudTrail 事件 |
| AWS Athena | 基于 SQL 分析 CloudTrail S3 日志 |
| AWS CLI | 命令行 CloudTrail 查询 |
| jq | 用于 CloudTrail 事件解析的 JSON 处理 |
| CloudTrail Lake | 支持 SQL 查询的高级事件数据存储 |
取证报告: AWS-IR-[日期]-[序号]
账户: [AWS 账户 ID]
时间范围: [开始] 至 [结束]
受损凭据: [访问密钥 ID]
可疑事件: [数量]
源 IP: [攻击者 IP 列表]
执行操作: [攻击者的 API 调用]
访问数据: [S3 对象、密钥等]
持久化机制: [新建用户、密钥、角色]