检测到 AWS EC2 全网络数据包捕获

编辑

检测到 AWS EC2 全网络数据包捕获

编辑

识别 Amazon 弹性计算云 (EC2) 实例中潜在的流量镜像。流量镜像是 Amazon VPC 的一项功能，您可以使用它来复制弹性网络接口的网络流量。此功能可能会被滥用来从未加密的内部流量中窃取敏感数据。

规则类型: 查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 中等

风险评分: 47

运行频率: 10 分钟

搜索索引时间范围: now-60m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

领域: 云
数据来源: AWS
数据来源: Amazon Web Services
用例: 网络安全监控
战术: 数据泄露
战术: 数据收集

版本: 206

规则作者:

Elastic
Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 AWS 集群集成、Filebeat 模块或具有类似结构的数据才能与该规则兼容。

规则查询

编辑

event.dataset:aws.cloudtrail and event.provider:ec2.amazonaws.com and
event.action:(CreateTrafficMirrorFilter or CreateTrafficMirrorFilterRule or CreateTrafficMirrorSession or CreateTrafficMirrorTarget) and
event.outcome:success

框架: MITRE ATT&CK^TM

战术
- 名称: 数据泄露
- ID: TA0010
- 参考网址: https://attack.mitre.org/tactics/TA0010/
技术
- 名称: 自动化数据泄露
- ID: T1020
- 参考网址: https://attack.mitre.org/techniques/T1020/
战术
- 名称: 数据收集
- ID: TA0009
- 参考网址: https://attack.mitre.org/tactics/TA0009/
技术
- 名称: 数据暂存
- ID: T1074
- 参考网址: https://attack.mitre.org/techniques/T1074/

« AWS EC2 加密已禁用 AWS EC2 实例连接 SSH 公钥已上传 »