conducting-cloud-incident-response

响应云环境(AWS、Azure、GCP)中的安全事件,执行基于身份的遏制、云原生日志分析、资源隔离和针对临时云基础设施的取证证据采集。适用于云事件响应、AWS 安全事件、Azure 受攻陷、GCP 泄露、云取证或云身份受攻陷相关请求。

9 stars

Best use case

conducting-cloud-incident-response is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

响应云环境(AWS、Azure、GCP)中的安全事件,执行基于身份的遏制、云原生日志分析、资源隔离和针对临时云基础设施的取证证据采集。适用于云事件响应、AWS 安全事件、Azure 受攻陷、GCP 泄露、云取证或云身份受攻陷相关请求。

Teams using conducting-cloud-incident-response should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/conducting-cloud-incident-response/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/conducting-cloud-incident-response/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/conducting-cloud-incident-response/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How conducting-cloud-incident-response Compares

Feature / Agentconducting-cloud-incident-responseStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

响应云环境(AWS、Azure、GCP)中的安全事件,执行基于身份的遏制、云原生日志分析、资源隔离和针对临时云基础设施的取证证据采集。适用于云事件响应、AWS 安全事件、Azure 受攻陷、GCP 泄露、云取证或云身份受攻陷相关请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 云事件响应(Cloud Incident Response)

## 适用场景

- 云安全态势管理(CSPM)告警提示未授权资源变更
- CloudTrail、Azure 活动日志或 GCP 审计日志显示可疑 API 调用
- 疑似云访问密钥或服务主体(Service Principal)凭据受攻陷
- 检测到未授权的计算实例、存储桶或 IAM 变更
- 云托管应用遭受攻陷且攻击者活动跨越多个云服务

**不适用于**无云组件的纯本地事件;此类情况请使用标准企业 IR 流程。

## 前置条件

- 云原生日志已启用并集中管理:AWS CloudTrail(所有区域)、Azure 活动/登录日志、GCP Cloud Audit Logs
- 预先配置具有只读取证访问权限的 IR 专用云 IAM 角色
- 用于证据保全的隔离取证账号/订阅/项目
- 针对每个云服务商的云事件响应运行手册
- 云原生安全工具:AWS GuardDuty、Azure Defender for Cloud、GCP Security Command Center
- 网络流量日志:VPC Flow Logs(AWS/GCP)、NSG Flow Logs(Azure)

## 工作流程

### 步骤 1:检测并确认云事件

识别受攻陷的范围和性质:

**AWS 指标:**
```
待调查的 CloudTrail 可疑事件:
- 来自异常地理位置或 IP 的 ConsoleLogin(控制台登录)
- 为现有 IAM 用户创建 CreateAccessKey(持久化)
- 启动用于挖矿的 RunInstances(大型实例类型)
- PutBucketPolicy 使 S3 存储桶公开
- AssumeRole 切换至跨账号角色
- DeleteTrail 或 StopLogging(防御规避)
- CreateUser 或 AttachUserPolicy(权限提升)
```

**Azure 指标:**
```
待调查的 Azure 活动日志事件:
- 来自匿名 IP 或 TOR 出口节点的登录
- 添加服务主体凭据
- 角色分配变更(添加 Owner、Contributor)
- 在异常区域创建虚拟机
- 存储账号访问密钥重新生成
- 条件访问策略被修改或删除
- 用户账号 MFA 被禁用
```

**GCP 指标:**
```
待调查的 GCP 审计日志事件:
- SetIamPolicy 变更授予宽泛访问权限
- 为现有服务账号创建 CreateServiceAccountKey
- 在意外区域 InsertInstance
- SetBucketIamPolicy 设置 allUsers
- DeleteLog 或 UpdateSink(日志篡改)
```

### 步骤 2:遏制云身份受攻陷

云遏制主要是身份操作:

**AWS 遏制:**
```bash
# 禁用受攻陷的 IAM 访问密钥
aws iam update-access-key --user-name compromised-user \
  --access-key-id AKIA... --status Inactive

# 为受攻陷用户附加全拒绝策略
aws iam attach-user-policy --user-name compromised-user \
  --policy-arn arn:aws:iam::aws:policy/AWSDenyAll

# 撤销受攻陷 IAM 角色的所有活跃会话
aws iam put-role-policy --role-name compromised-role \
  --policy-name RevokeOlderSessions --policy-document '{
    "Version":"2012-10-17",
    "Statement":[{
      "Effect":"Deny",
      "Action":"*",
      "Resource":"*",
      "Condition":{"DateLessThan":
        {"aws:TokenIssueTime":"2025-11-15T15:00:00Z"}}
    }]
  }'

# 隔离受攻陷的 EC2 实例
aws ec2 modify-instance-attribute --instance-id i-0abc123 \
  --groups sg-isolate-forensic
```

**Azure 遏制:**
```powershell
# 禁用受攻陷用户
Set-AzureADUser -ObjectId "user@tenant.onmicrosoft.com" -AccountEnabled $false

# 撤销所有会话
Revoke-AzureADUserAllRefreshToken -ObjectId "user-object-id"

# 移除角色分配
Remove-AzRoleAssignment -ObjectId "sp-object-id" -RoleDefinitionName "Contributor"

# 使用 NSG 全拒绝规则隔离虚拟机
$nsg = New-AzNetworkSecurityGroup -Name "isolate-nsg" -ResourceGroupName "rg" -Location "eastus"
$nsg | Add-AzNetworkSecurityRuleConfig -Name "DenyAll" -Priority 100 -Direction Inbound `
  -Access Deny -Protocol * -SourceAddressPrefix * -SourcePortRange * `
  -DestinationAddressPrefix * -DestinationPortRange *
```

### 步骤 3:保全云证据

在临时资源终止或日志轮转前采集证据:

**AWS 证据采集:**
- 将 CloudTrail 事件导出到取证账号的 S3 存储桶
- 对受攻陷 EC2 实例的 EBS 卷创建快照
- 复制 S3 访问日志和对象版本
- 导出受影响 VPC 的 VPC Flow Logs
- 采集 IAM 凭据报告和访问顾问数据

**Azure 证据采集:**
- 导出 Azure 活动日志和登录日志(默认保留 90 天)
- 对受攻陷虚拟机的托管磁盘创建快照
- 导出 Azure AD 审计日志
- 采集 NSG 流日志
- 导出条件访问登录详情

**GCP 证据采集:**
- 将 Cloud Audit Logs 导出到取证存储桶
- 对受攻陷虚拟机的持久磁盘创建快照
- 导出 VPC Flow Logs
- 采集 IAM 策略快照

### 步骤 4:调查云特有攻击模式

分析日志以识别常见云攻击技术:

```
常见云攻击模式:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. 凭据受攻陷 → IAM 权限提升 → 资源滥用
2. 公开 S3/Blob → 数据外泄
3. Web 应用 SSRF → IMDS 令牌窃取 → 横向移动
4. CI/CD 流水线受攻陷 → 恶意部署
5. 跨账号角色滥用 → 多账号跳转
6. Lambda/Function 滥用 → 挖矿或数据处理
```

**IMDS 令牌窃取调查(AWS):**
```bash
# 在 CloudTrail 中搜索使用来自外部 IP 的实例角色凭据的 API 调用
aws cloudtrail lookup-events --lookup-attributes \
  AttributeKey=EventSource,AttributeValue=ec2.amazonaws.com \
  --start-time 2025-11-14 --end-time 2025-11-16 \
  | jq '.Events[] | select(.CloudTrailEvent | fromjson | .sourceIPAddress != "internal")'
```

### 步骤 5:根除并恢复

移除对手访问权限并恢复安全状态:

- 轮换所有受攻陷凭据(访问密钥、密码、服务主体密钥)
- 移除攻击者创建的未授权 IAM 用户、角色、策略和访问密钥
- 终止未授权计算实例(挖矿程序、C2 服务器)
- 将修改过的 S3 存储桶策略和存储访问策略恢复到事件前状态
- 重新启用被禁用的安全控制(CloudTrail、GuardDuty、Defender for Cloud)
- 审查并恢复条件访问策略和 MFA 配置

### 步骤 6:事件后云加固

实施控制措施以防止再次发生:

- 为所有 IAM 用户启用 MFA,并要求对敏感 API 调用强制 MFA
- 实施 SCP(AWS)或 Azure Policy 以防止禁用日志记录
- 启用 GuardDuty / Defender for Cloud / Security Command Center 并配置自动修复
- 利用访问分析器数据实施最小权限 IAM 策略
- 在所有 EC2 实例上启用 IMDSv2(需要令牌)以防止基于 SSRF 的令牌窃取
- 配置预算告警以检测挖矿导致的费用突增

## 核心概念

| 术语 | 定义 |
|------|------|
| **IMDS(Instance Metadata Service,实例元数据服务)** | 提供可从虚拟机内部访问的实例凭据的云服务;SSRF 攻击以 IMDS 为目标窃取令牌 |
| **CloudTrail** | 记录 AWS 账号中所有 API 调用的 AWS 服务;AWS 事件响应的主要证据来源 |
| **服务主体(Service Principal)** | Azure AD 中供应用程序和服务使用的非人类身份;受攻陷后可实现持久 API 访问 |
| **SCP(Service Control Policy,服务控制策略)** | AWS Organizations 策略,限制账号可用的最大权限;用于设置安全护栏 |
| **临时基础设施(Ephemeral Infrastructure)** | 可能在证据采集前终止的云资源(容器、函数、自动扩展实例) |
| **跨账号角色切换(Cross-Account Role Assumption)** | AWS 机制允许一个账号临时访问另一个账号的资源;攻击者通过角色切换进行横向移动 |

## 工具与系统

- **AWS CloudTrail / Azure Activity Logs / GCP Audit Logs**:提供主要审计跟踪的云原生 API 日志服务
- **Cado Response**:用于自动从 AWS、Azure 和 GCP 采集证据的云原生取证平台
- **Prowler(AWS)/ ScoutSuite(多云)**:用于事件后安全态势审查的开源云安全评估工具
- **Steampipe**:基于 SQL 查询云 API 以调查 IAM 配置和资源状态的开源工具
- **Cartography(Lyft)**:用于映射云基础设施关系和识别攻击路径的开源工具

## 常见场景

### 场景:通过公开 GitHub 仓库泄露的 AWS 访问密钥

**背景**:AWS GuardDuty 告警显示某 IAM 用户的访问密钥被来自意外 IP 地址的 API 调用使用。该密钥在 4 小时前被意外提交到公开 GitHub 仓库。

**处理方法**:
1. 立即通过 AWS IAM 禁用受攻陷的访问密钥
2. 为受影响的 IAM 用户附加 AWSDenyAll 策略
3. 查询 CloudTrail 中自密钥泄露以来使用受攻陷密钥发起的所有 API 调用
4. 识别攻击者创建或修改的资源(用于挖矿的 EC2 实例、用于持久化的新 IAM 用户)
5. 终止未授权资源并移除后门 IAM 实体
6. 轮换受攻陷用户有权访问的所有凭据
7. 启用 GitHub 密钥扫描以防止未来的凭据泄露

**常见陷阱**:
- 仅禁用访问密钥而未检查攻击者创建的新访问密钥或 IAM 用户(持久化)
- 未检查所有 AWS 区域是否存在攻击者创建的资源(挖矿程序部署在每个区域)
- 忘记撤销已切换角色的临时凭据(STS 令牌在到期前仍然有效)
- 未为保险索赔计算未授权资源使用的财务影响

## 输出格式

```
云事件响应报告
================================
事件:          INC-2025-1705
云服务商:      AWS(账号:123456789012)
检测日期:      2025-11-15T14:00:00Z
检测来源:      GuardDuty - UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

受攻陷摘要
初始访问:      IAM 访问密钥泄露至公开 GitHub 仓库
受影响身份:    iam-user: deploy-bot (AKIA...)
攻击者 IP:     203.0.113.42(VPN 出口节点,荷兰)
持续时间:      4 小时(10:00 UTC - 14:00 UTC)

攻击者活动(来自 CloudTrail)
10:15 UTC - DescribeInstances(侦察)
10:18 UTC - RunInstances x 12(c5.4xlarge,所有区域 - 挖矿)
10:22 UTC - CreateUser "backup-admin"(持久化)
10:23 UTC - CreateAccessKey for "backup-admin"
10:25 UTC - AttachUserPolicy - AdministratorAccess to "backup-admin"
10:30 UTC - PutBucketPolicy - s3://data-bucket 设为公开(外泄)

遏制措施
[x] 原始访问密钥已禁用
[x] 用户策略已设为 AWSDenyAll
[x] 后门 IAM 用户 "backup-admin" 已删除
[x] 12 个挖矿实例已终止(所有区域)
[x] S3 存储桶策略已恢复为私有

财务影响
未授权 EC2:$2,847(4 小时 x 12 x c5.4xlarge)
数据传输:  $127(S3 公开访问数据出口)
合计:      $2,974

事件后加固
1. GitHub 密钥扫描已启用
2. 访问密钥轮换策略已实施
3. 防止 CloudTrail 禁用的 SCP 已部署
4. GuardDuty 自动修复 Lambda 已配置
```

Related Skills

triaging-security-incident

9
from killvxk/cybersecurity-skills-zh

使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。

triaging-security-incident-with-ir-playbook

9
from killvxk/cybersecurity-skills-zh

使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。

securing-kubernetes-on-cloud

9
from killvxk/cybersecurity-skills-zh

本技能涵盖通过实施 Pod 安全标准(Pod Security Standards)、网络策略、工作负载身份、RBAC 权限控制、镜像准入控制和运行时安全监控,对 EKS、AKS 和 GKE 上的托管 Kubernetes 集群进行加固。涉及云平台特定安全功能,包括 EKS 的 IRSA、GKE 的工作负载身份(Workload Identity)以及 AKS 的托管身份(Managed Identity)。

performing-ransomware-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。

performing-ransomware-incident-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。

performing-cloud-storage-forensic-acquisition

9
from killvxk/cybersecurity-skills-zh

通过收集 API 远程数据和端点设备本地同步客户端制品,对 Google Drive、OneDrive、Dropbox 和 Box 等云存储服务执行取证获取和分析。

performing-cloud-penetration-testing

9
from killvxk/cybersecurity-skills-zh

对 AWS、Azure 和 GCP 云环境执行授权渗透测试,识别 IAM 错误配置、暴露的存储桶、过度宽松的安全组、 无服务器函数漏洞以及从初始访问到账户沦陷的云特定攻击路径。测试人员使用云原生工具及 Pacu、 ScoutSuite 等专用框架枚举并利用云基础设施。适用于云渗透测试、AWS 安全评估、Azure 渗透测试 或云基础设施安全测试等请求场景。

performing-cloud-penetration-testing-with-pacu

9
from killvxk/cybersecurity-skills-zh

使用开源 AWS 利用框架 Pacu 执行已授权的 AWS 渗透测试,枚举 IAM 配置、发现权限提升路径、测试凭据收集,并通过系统化的攻击模拟验证安全控制。

performing-cloud-native-forensics-with-falco

9
from killvxk/cybersecurity-skills-zh

使用 Falco YAML 规则在容器和 Kubernetes 中进行运行时威胁检测,监控系统调用以检测 shell 生成、文件篡改、网络异常和权限提升。通过 Falco gRPC API 管理 Falco 规则并解析 Falco 告警输出。适用于构建容器运行时安全或调查 k8s 集群入侵。

performing-cloud-incident-containment-procedures

9
from killvxk/cybersecurity-skills-zh

在 AWS、Azure 和 GCP 中执行云原生事件遏制,包括隔离受攻陷资源、撤销凭据、保全取证证据,以及应用安全组限制以防止横向移动。

performing-cloud-forensics-with-aws-cloudtrail

9
from killvxk/cybersecurity-skills-zh

使用 CloudTrail 日志对 AWS 环境执行取证调查,重建攻击者活动、识别受损凭据并分析 API 调用模式。

performing-cloud-forensics-investigation

9
from killvxk/cybersecurity-skills-zh

通过收集和分析来自 AWS、Azure 和 GCP 服务的日志、快照和元数据,在云环境中开展取证调查。