使用自定义端点 URL 的 AWS CLI 命令
编辑使用自定义端点 URL 的 AWS CLI 命令
编辑检测使用带有 --endpoint-url
参数的 AWS CLI,该参数允许用户为 AWS 服务指定自定义端点 URL。攻击者可以利用此功能将 API 请求重定向到非标准或恶意端点,从而可能绕过典型的安全控制和日志记录机制。此行为可能表明试图与未授权或受损的基础设施交互、泄露数据或以合法 AWS 操作的名义执行其他恶意活动。
规则类型: new_terms
规则索引:
- logs-endpoint.events.process-*
严重性: 中等
风险评分: 47
每隔: 5m
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间
)
每次执行的最大告警数: 100
参考:
标签:
- 数据源:Elastic Defend
- 域:端点
- 操作系统:Linux
- 用例:威胁检测
- 战术:命令和控制
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑host.os.type: "linux" and event.category: "process" and process.name: "aws" and process.args: "--endpoint-url"
框架: MITRE ATT&CKTM
-
战术
- 名称:命令和控制
- ID:TA0011
- 参考 URL:https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:Web 服务
- ID:T1102
- 参考 URL:https://attack.mitre.org/techniques/T1102/