使用自定义端点 URL 的 AWS CLI 命令

编辑

使用自定义端点 URL 的 AWS CLI 命令

编辑

检测使用带有 --endpoint-url 参数的 AWS CLI,该参数允许用户为 AWS 服务指定自定义端点 URL。攻击者可以利用此功能将 API 请求重定向到非标准或恶意端点,从而可能绕过典型的安全控制和日志记录机制。此行为可能表明试图与未授权或受损的基础设施交互、泄露数据或以合法 AWS 操作的名义执行其他恶意活动。

规则类型: new_terms

规则索引:

  • logs-endpoint.events.process-*

严重性: 中等

风险评分: 47

每隔: 5m

搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 数据源:Elastic Defend
  • 域:端点
  • 操作系统:Linux
  • 用例:威胁检测
  • 战术:命令和控制

版本: 1

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询

编辑
host.os.type: "linux" and event.category: "process" and process.name: "aws" and process.args:  "--endpoint-url"

框架: MITRE ATT&CKTM