CloudGrappler:针对云环境的威胁行为与安全事件检测工具

上一篇 / 下一篇  2024-08-01 13:42:23

  关于CloudGrappler
  CloudGrappler是一款专为云端环境安全设计的强大工具,该工具作为一款专用工具,可以帮助广大研究人员轻松检测AWS和Azure等流行云环境中与知名威胁行为者相关的威胁行为和安全事件。
  为了优化CloudGrappler的使用率,我们建议在查询结果时使用较短的时间范围。这种方法可以提高效率并加快信息检索速度,从而确保获得更好的工具使用体验度。
  工具要求
  botocore>=1.24.46
  boto3>=1.28.0
  boto3-stubs>=1.20.49
  python-dateutil==2.8.1
  types-python-dateutil==2.8.13
  pytest==7.2.0
  moto==4.2.2
  timeout-decorator==0.5.0
  black==23.9.1
  pip-audit==2.6.1
  azure-storage-blob==12.18.3
  azure-core==1.29.4
  azure-identity==1.14.1
  google-cloud-storage==2.12.0
  setuptools==68.2.2
  yara-python-wheel==4.4.0
  工具安装
  由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
  接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
  https://github.com/Permiso-io-tools/CloudGrappler.git
  然后切换到项目目录中,使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:
  cd CloudGrappler
  pip3 install -r requirements
  工具使用
  该工具是一个基于命令行的工具,因此我们需要通过CLI来使用CloudGrappler。
  使用样例一:使用默认查询文件运行CloudGrappler
  根据我们的云基础架构配置,在data_sources.json文件中定义扫描范围。以下示例展示了适用于AWS和Azure环境的结构化data_sources.json 文件。需要注意的是,我们要将queries.json 文件中的源修改为通配符(*),这样就可以同时在AWS和Azure环境中扫描相应的查询:
  {
    "AWS": [
      {
        "bucket": "cloudtrail-logs-00000000-ffffff",
        "prefix": [
          "testTrails/AWSLogs/00000000/CloudTrail/eu-east-1/2024/03/03",
          "testTrails/AWSLogs/00000000/CloudTrail/us-west-1/2024/03/04"
        ]
      },
      {
        "bucket": "aws-kosova-us-east-1-00000000"
      }
   
    ],
    "AZURE": [
      {
        "accountname": "logs",
        "container": [
          "cloudgrappler"
        ]
      }
    ]
  }
  然后运行下列命令即可:
  python3 main.py
  使用样例二:Permiso Intel 用例
  python3 main.py -p
  [+] Running GetFileDownloadUrls.*secrets_ for AWS
  [+] Threat Actor: LUCR3
  [+] Severity: MEDIUM
  [+] Description: Review use of CloudShell. Permiso seldom witnesses use of CloudShell outside of known attackers.This however may be a part of your normal business use case.
  使用样例三:生成报告
  python3 main.py -p -jo
  reports
  └── json
      ├── AWS
      │   └── 2024-03-04 01:01 AM
      │       └── cloudtrail-logs-00000000-ffffff--
      │           └── testTrails/AWSLogs/00000000/CloudTrail/eu-east-1/2024/03/03
      │               └── GetFileDownloadUrls.*secrets_.json
      └── AZURE
          └── 2024-03-04 01:01 AM
              └── logs
                  └── cloudgrappler
                      └── okta_key.json
  使用样例四:根据日期或时间过滤日志
  python3 main.py  -p  -sd 2024-02-15  -ed  2024-02-16
  使用样例五:手动添加查询和数据源类型
  python3 main.py  -q “GetFileDownloadUrls.*secret”, ”UpdateAccessKey”  -s '*'
  使用样例六:使用自己的查询文件运行CloudGrappler
  python3 main.py -f new_file.json
  许可证协议
  本项目的开发与发布遵循Apache-2.0开源许可协议。

TAG: CloudGrappler 安全检测工具

 

评分:0

我来说两句

Open Toolbar