CloudGrappler:针对云环境的威胁行为与安全事件检测工具
上一篇 /
下一篇 2024-08-01 13:42:23
CloudGrappler是一款专为云端环境安全设计的强大工具,该工具作为一款专用工具,可以帮助广大研究人员轻松检测AWS和Azure等流行云环境中与知名威胁行为者相关的威胁行为和安全事件。
为了优化CloudGrappler的使用率,我们建议在查询结果时使用较短的时间范围。这种方法可以提高效率并加快信息检索速度,从而确保获得更好的工具使用体验度。
工具要求
botocore>=1.24.46
boto3>=1.28.0
boto3-stubs>=1.20.49
python-dateutil==2.8.1
types-python-dateutil==2.8.13
pytest==7.2.0
moto==4.2.2
timeout-decorator==0.5.0
black==23.9.1
pip-audit==2.6.1
azure-storage-blob==12.18.3
azure-core==1.29.4
azure-identity==1.14.1
google-cloud-storage==2.12.0
setuptools==68.2.2
yara-python-wheel==4.4.0
工具安装
由于该工具基于
Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
https://github.com/Permiso-io-tools/CloudGrappler.git
然后切换到项目目录中,使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:
cd CloudGrappler
pip3 install -r requirements
工具使用
该工具是一个基于命令行的工具,因此我们需要通过CLI来使用CloudGrappler。
使用样例一:使用默认查询文件运行CloudGrappler
根据我们的云基础架构配置,在data_sources.json文件中定义扫描范围。以下示例展示了适用于AWS和Azure环境的结构化data_sources.json 文件。需要注意的是,我们要将queries.json 文件中的源修改为通配符(*),这样就可以同时在AWS和Azure环境中扫描相应的查询:
{
"AWS": [
{
"bucket": "cloudtrail-logs-00000000-ffffff",
"prefix": [
"testTrails/AWSLogs/00000000/CloudTrail/eu-east-1/2024/03/03",
"testTrails/AWSLogs/00000000/CloudTrail/us-west-1/2024/03/04"
]
},
{
"bucket": "aws-kosova-us-east-1-00000000"
}
],
"AZURE": [
{
"accountname": "logs",
"container": [
"cloudgrappler"
]
}
]
}
然后运行下列命令即可:
使用样例二:Permiso Intel 用例
[+] Running GetFileDownloadUrls.*secrets_ for AWS
[+] Threat Actor: LUCR3
[+] Severity: MEDIUM
[+] Description: Review use of CloudShell. Permiso seldom witnesses use of CloudShell outside of known attackers.This however may be a part of your normal business use case.
使用样例三:生成报告
reports
└── json
├── AWS
│ └── 2024-03-04 01:01 AM
│ └── cloudtrail-logs-00000000-ffffff--
│ └── testTrails/AWSLogs/00000000/CloudTrail/eu-east-1/2024/03/03
│ └── GetFileDownloadUrls.*secrets_.json
└── AZURE
└── 2024-03-04 01:01 AM
└── logs
└── cloudgrappler
└── okta_key.json
使用样例四:根据日期或时间过滤日志
python3 main.py -p -sd 2024-02-15 -ed 2024-02-16
使用样例五:手动添加查询和数据源类型
python3 main.py -q “GetFileDownloadUrls.*secret”, ”UpdateAccessKey” -s '*'
使用样例六:使用自己的查询文件运行CloudGrappler
python3 main.py -f new_file.json
许可证协议
本项目的开发与发布遵循Apache-2.0开源许可协议。
收藏
举报
TAG:
CloudGrappler
安全检测工具