AWS CloudTrail 日志删除
编辑AWS CloudTrail 日志删除
编辑识别 AWS 日志跟踪的删除操作。攻击者可能会删除跟踪以试图逃避防御。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 中等
风险评分: 47
每隔: 10 分钟
搜索索引范围: now-60m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 领域: 云
- 数据源: AWS
- 数据源: Amazon Web Services
- 用例: 日志审计
- 资源: 调查指南
- 战术: 防御规避
版本: 210
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 AWS CloudTrail 日志删除
Amazon CloudTrail 是一项服务,可实现对您的 Amazon Web Services 账户的治理、合规性、操作审计和风险审计。使用 CloudTrail,您可以记录、持续监控和保留与跨您的 Amazon Web Services 基础设施的操作相关的账户活动。CloudTrail 提供您 Amazon Web Services 账户活动的事件历史记录,包括通过 Amazon Management Console、Amazon SDK、命令行工具和其他 Amazon Web Services 服务执行的操作。此事件历史记录简化了安全分析、资源更改跟踪和故障排除。
此规则使用 API DeleteTrail 操作识别 AWS 日志跟踪的删除操作。攻击者可以执行此操作来掩盖其踪迹并影响依赖此源的安全监控。
可能的调查步骤
- 识别执行此操作的用户账户,以及该账户是否应该执行此类操作。
- 调查过去 48 小时内与用户账户关联的其他告警。
- 联系账户和资源所有者,并确认他们是否知晓此活动。
- 检查此操作是否已获得批准,以及是否根据组织的变更管理策略执行。
- 考虑发出命令的用户源 IP 地址和地理位置
- 对于用户来说,它们看起来是否正常?
- 如果源是 EC2 IP 地址,它是否与您某个账户中的 EC2 实例关联,或者源 IP 是否来自您无法控制的 EC2 实例?
- 如果是授权的 EC2 实例,该活动是否与实例角色或角色的正常行为相关?此实例是否存在任何其他告警或可疑活动迹象?
- 调查已删除日志跟踪的关键性和相关团队是否知晓该删除操作。
- 如果您怀疑账户已被泄露,请通过跟踪账户在过去 24 小时内访问的服务器、服务和数据来确定潜在的受损资产。
误报分析
- 如果由于预期活动导致此规则在您的环境中产生大量噪声,请考虑添加异常——最好结合用户和 IP 地址条件。
响应和补救
- 根据分类结果启动事件响应流程。
- 在调查和响应期间禁用或限制账户。
- 识别事件的可能影响并相应地确定优先级;以下操作可以帮助您获得上下文
- 识别账户在云环境中的角色。
- 评估受影响服务和服务器的关键性。
- 与您的 IT 团队合作,识别并最大程度地减少对用户的影响。
- 确定攻击者是否正在横向移动并泄露其他账户、服务器或服务。
- 确定与该活动相关的任何监管或法律后果。
- 调查受攻击者泄露或使用的系统上的凭据泄露,以确保识别所有受损账户。根据需要重置密码或删除 API 密钥以撤销攻击者对环境的访问权限。在执行这些操作期间,与您的 IT 团队合作,最大程度地减少对业务运营的影响。
- 检查是否创建了未经授权的新用户,删除未经授权的新账户,并为其他 IAM 用户请求密码重置。
- 考虑为用户启用多因素身份验证。
- 检查分配给涉嫌用户的权限,以确保遵循最小权限原则。
- 实施 AWS 概述的安全最佳实践。
- 采取必要的措施,将受影响的系统、数据或服务恢复到其正常的运行级别。
- 识别攻击者滥用的初始载体,并采取措施防止通过相同载体重新感染。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑AWS Fleet 集成、Filebeat 模块或类似结构的数据必须与该规则兼容。
规则查询
编辑event.dataset:aws.cloudtrail
and event.provider:cloudtrail.amazonaws.com
and event.action:DeleteTrail
and event.outcome:success
框架: MITRE ATT&CKTM
-
战术
- 名称: 防御规避
- ID: TA0005
- 参考网址: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 削弱防御
- ID: T1562
- 参考网址: https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称: 禁用或修改工具
- ID: T1562.001
- 参考网址: https://attack.mitre.org/techniques/T1562/001/