文章总结： 本文档介绍了基于AWSGuardDuty和CloudTrail构建轻量级CASB监控实验室的实战教程。文章详细阐述了启用加密日志、配置威胁检测、生成测试事件及分析发现结果的步骤，旨在帮助初学者掌握云安全监控与异常检测技能，模拟真实防御场景并强调资源清理。 综合评分： 88 文章分类： 云安全,安全建设,安全运营,实战经验

面向JD学习AWS云安全3：基于GuardDuty的轻量级CASB监控

Dubito

云原生安全指北

2026年1月7日 08:36 江苏

注：本文翻译自 LaTerral Williams[1] 的文章《🛡️ Building a CASB‑Like Threat Monitoring Lab in AWS (Beginner Friendly)》[2]，可点击文末“阅读原文”按钮查看英文原文。

全文如下：

⭐ 我为什么构建这个项目

（项目3/6：使用 GuardDuty + CloudTrail 实现类CASB监控）

与其孤立地学习云安全概念，我选择将真实的职位描述作为路线图，并动手构建能直接对应雇主在云安全、云运营和安全工程岗位上期望的实践项目。

这个包含6个部分的系列聚焦于以下实用技能：

• • 身份强化与 MFA 强制实施
• • IAM 治理与访问权限审查
• • 云资源的持续监控
• • 日志分析、审计就绪与证据收集
• • 使用 AWS Organizations + 服务控制策略 (SCPs) 进行大规模防护
• • 威胁检测、异常监控与事件分级处理

每个项目都反映真实世界的职责，而不仅仅是理论学习。

📌 项目系列概览

注：其他项目见同期发布的其他文章

👉 项目 1： AWS IAM 强化 —— 加固身份边界并提升认证安全状况

👉 项目 2： 使用 Security Hub + AWS Config 实现云安全态势管理 (CSPM)

👉 项目 3： (本项目) —— 使用 GuardDuty + CloudTrail 实现类CASB监控，专注于实时检测、安全的异常活动生成、委托管理员行为，以及理解 AWS 如何产生威胁情报发现结果。

👉 项目 4： 使用 AWS Config 进行漂移检测，包括托管规则、EventBridge 路由、标签和可选的修复

👉 项目 5： 使用 Athena + QuickSight 进行日志分析与仪表板构建，将原始 CloudTrail 日志转化为可操作的安全洞察

👉 项目 6：Terraform 安全模块，使用基础设施即代码（Infrastructure as Code，IaC）构建安全的 AWS 基线

🔐 为何这种递进关系至关重要

现代云安全团队采用分层防护方法。

身份优先 → 其次态势 → 然后威胁检测

项目三在前述基础之上，增加了 行为可见性、异常检测和事件驱动告警 —— 这些是 SOC 分析师、检测工程师、威胁猎人和云安全专家所使用的核心基础。

本实验使用托管服务，在 AWS 内部模拟了一个轻量级的 云访问安全代理 (CASB) 工作流，使您能够探索：

• • CloudTrail 事件日志记录与完整性
• • GuardDuty 发现结果（样本 + 真实）
• • 安全的对手模拟
• • 基于区域的异常检测
• • 委托管理员限制
• • 为成本控制进行的清理工作

这是一份手把手的、适合初学者的指南，指导您在 AWS 中设置威胁监控、生成安全的测试活动、解读发现结果、排查委托管理员错误，以及正确地清理环境。

一、概述

云安全监控并不一定复杂，您也无需企业级的 CASB 工具就可以开始学习云端威胁检测的工作原理。

这个适合初学者的实验将展示如何使用 AWS CloudTrail + GuardDuty 来模拟类 CASB 监控，同时确保一切都在免费或极低成本的范围内。

您将生成安全的测试活动、查看检测结果，并了解这些工具如何帮助安全团队识别 AWS 环境内的风险行为。

本指南还包含了排错说明和设置过程中遇到的实际问题（如手动 KMS 加密、委托管理员限制等），以便初学者能预知可能的情况。

二、您将构建的内容

完成本实验后，您将拥有：

• • 记录您 AWS API 活动的 CloudTrail 日志
• • 用于分析日志中威胁的 GuardDuty
• • 来自安全测试事件的样本发现结果 + 真实发现结果
• • 一个轻量级的、类 CASB 的监控工作流
• • 一个无持续成本的干净环境

三、先决条件

• • AWS 账户
• • 具有管理员级别权限的 IAM 用户或角色
• • 为实验选择一个区域（推荐：us-east-1）
• • 可选：安装 AWS CLI

四、步骤 1：使用安全设置启用 CloudTrail

CloudTrail 记录您 AWS 账户中的所有 API 活动。它是检测和威胁监控的基石。

✅ 创建 CloudTrail 跟踪

1. 1. 打开 CloudTrail → 跟踪 → 创建跟踪
2. 2. 为您的跟踪命名：casb-guardduty-lab-trail
3. 3. 为日志创建一个新的 S3 存储桶
4. 4. 手动启用：

• • SSE‑KMS 加密（使用 AWS 托管密钥）
• • 日志文件验证

🔎 许多初学者会忽略这一点 —— 根据 UI 版本的不同，CloudTrail 并非默认始终启用 SSE-KMS 加密或验证功能。

这些设置为您的日志增加了完整性和机密性保护。

五、步骤 2：启用 GuardDuty（威胁检测）

GuardDuty 会分析 CloudTrail 日志、VPC 流日志和 DNS 日志，以发现可疑或恶意活动。

✅ 启用 GuardDuty

1. 1. 打开 GuardDuty
2. 2. 点击 启用 GuardDuty
3. 3. 如果 GuardDuty 创建了 委托管理员，请记下以备后续清理使用

现在，您的威胁检测已在自动运行。

六、步骤 3：生成安全的测试活动

为了让学习体验更加真实，您将生成一些安全的事件，供 CloudTrail 和 GuardDuty 分析。

6.1 选项 A – 生成 AWS 样本发现结果

在 GuardDuty 中：

1. 1. 打开 操作（Actions） 菜单
2. 2. 选择 生成样本发现结果

这些模拟的攻击有助于您练习事件分级处理。

6.2 选项 B – 生成真实的 CloudTrail 事件

6.2.1 控制台登录事件

• • 从 AWS 控制台登出并重新登录
• • 创建一个测试 IAM 用户，并故意进行失败的登录尝试

这些事件将以 ConsoleLogin 类型出现在 CloudTrail 中。

6.2.2 来自异常区域的活动

• • 从您的主区域切换到 eu-west-1 或 ap-southeast-1
• • 打开服务或开始创建资源（在配置完成前取消）

CloudTrail 会记录这些操作，并包含操作发生的区域信息。

七、步骤 4：审查 GuardDuty 发现结果

现在，您可以亲眼看到您构建的类 CASB 可见性如何发挥作用。

🔍 查看所有发现结果

前往：

GuardDuty → Findings

您可能会看到以下类型的发现结果：

• • UnauthorizedAccess:IAMUser/ConsoleLogin（未经授权的访问：IAM用户/控制台登录）

• • Recon:EC2/PortProbe（侦察：EC2/端口探测）

• • 针对异常登录的 AnomalousBehavior（异常行为）发现结果

• • 样本模拟威胁，例如：

• • IAM 泄露序列

• • EC2 泄露

• • Kubernetes 或 ECS 泄露

如果 GuardDuty 检测到异常的数据库访问，您可能会看到：

A user successfully logged into an RDS database in an unusual way.
Severity: HIGH
译：一个用户以异常方式成功登录了 RDS 数据库。
   严重性：高

这些发现结果有助于您理解真实世界中的威胁检测是什么样子的。

八、步骤 5：清理以避免成本

这个实验成本低廉，但如果让它运行数天或数月，则不是免费的。

❗ 必需：首先移除委托管理员

在移除委托管理员之前，您无法禁用 GuardDuty。

1. 1. 打开 GuardDuty → 设置 → 账户
2. 2. 点击 禁用委托管理员
3. 3. 确认

现在您可以安全地禁用 GuardDuty 了。

✅ 禁用 GuardDuty

1. 1. 打开 GuardDuty → 设置
2. 2. 选择 禁用 GuardDuty

✅ 删除 CloudTrail 跟踪

1. 1. 打开 CloudTrail → 跟踪
2. 2. 选择您创建的跟踪
3. 3. 删除它

✅ 移除 S3 日志存储桶

1. 1. 清空存储桶
2. 2. 删除存储桶

✅ 删除测试 IAM 用户

如果您为测试失败的登录而创建了一个测试用户，请将其删除。

九、总结

这个项目为您提供了以下方面的真实动手经验：

• • 日志记录
• • 威胁检测
• • 云安全监控
• • 在 AWS 内部实现类 CASB 的可见性
• • 正确的环境清理与成本管理

这是一个从初级到中级水平的优秀云安全项目，您可以将其展示在作品集或 LinkedIn 个人动态中。

引用链接

[1] LaTerral Williams: https://linkedin.com/in/ldwit [2] 《🛡️ Building a CASB‑Like Threat Monitoring Lab in AWS (Beginner Friendly)》: https://dev.to/ldwit/building-a-casb-like-threat-monitoring-lab-in-aws-beginner-friendly-4m80

交流群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云原生安全指北 Dubito《面向JD学习AWS云安全3：基于GuardDuty的轻量级CASB监控》