TrailShark是一款AWS CloudTrail日志实时分析工具,旨在调试AWS API调用,并实现AWS CloudTrail日志的实时分析。
TrailShark Capture Utility 与 Wireshark 无缝集成,便于将 AWS CloudTrail 日志直接捕获到 Wireshark 中进行近乎实时的分析。通过利用此实用程序,能够了解 AWS 进行的内部 API 调用,从而发现不同服务中的关键漏洞。这种洞察力对于增强安全措施和更深入地了解 AWS 服务交互非常有价值。
1、CloudTrail 日志捕获:支持直接从 AWS S3 或 CloudWatch 捕获 CloudTrail 日志,以进行全面监控。
2、高级过滤:提供自定义过滤器、字段和颜色编码选项,以突出显示有趣或重要的事件,使分析更加直观和高效。
3、自定义事件:支持根据现有事件创建自定义事件,从而可以更详细、更有针对性地分析事件链及其影响。
Wireshark
Python 3.x
boto3
注意:该插件已在 Linux 和 macOS 上测试过,但它理论上也适用于 Windows。
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Aqua-Nautilus/TrailShark.git
接下来,部署 CloudFormation 模板来创建 CloudTrail 跟踪并配置 S3 来存储日志:
aws cloudformation create-stack --stack-name TrailShark --template-body aws/template.yaml --region {REGION}
运行以下脚本安装 wireshark 插件
./install-plugin.sh
运行 Wireshark 并配置 aws 凭证:
登录SSO帐户:
aws configure sso
可以为默认用户使用:
aws configure
自定义过滤器:
本项目的开发与发布遵循GPL-2.0开源许可协议。
TrailShark:
https://github.com/Aqua-Nautilus/TrailShark
原文始发于微信公众号(FreeBuf):TrailShark:一款AWS CloudTrail日志实时分析工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论