关于TrailShark

TrailShark是一款AWS CloudTrail日志实时分析工具，旨在调试AWS API调用，并实现AWS CloudTrail日志的实时分析。

TrailShark Capture Utility 与 Wireshark 无缝集成，便于将 AWS CloudTrail 日志直接捕获到 Wireshark 中进行近乎实时的分析。通过利用此实用程序，能够了解 AWS 进行的内部 API 调用，从而发现不同服务中的关键漏洞。这种洞察力对于增强安全措施和更深入地了解 AWS 服务交互非常有价值。

功能介绍

1、CloudTrail 日志捕获：支持直接从 AWS S3 或 CloudWatch 捕获 CloudTrail 日志，以进行全面监控。

2、高级过滤：提供自定义过滤器、字段和颜色编码选项，以突出显示有趣或重要的事件，使分析更加直观和高效。

3、自定义事件：支持根据现有事件创建自定义事件，从而可以更详细、更有针对性地分析事件链及其影响。

工具要求

Wireshark

Python 3.x

boto3

注意：该插件已在 Linux 和 macOS 上测试过，但它理论上也适用于 Windows。

工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Aqua-Nautilus/TrailShark.git

接下来，部署 CloudFormation 模板来创建 CloudTrail 跟踪并配置 S3 来存储日志：

aws cloudformation create-stack --stack-name TrailShark --template-body aws/template.yaml  --region {REGION}

运行以下脚本安装 wireshark 插件

./install-plugin.sh

工具使用

运行 Wireshark 并配置 aws 凭证：

登录SSO帐户：

aws configure sso

可以为默认用户使用：

aws configure

自定义过滤器：

许可证协议

本项目的开发与发布遵循GPL-2.0开源许可协议。

项目地址

TrailShark：【GitHub传送门】

参考资料

https://blog.wireshark.org/tag/cloudtrail/

https://github.com/wireshark/wireshark