AWS EC2 实例与 IAM 服务交互
编辑AWS EC2 实例与 IAM 服务交互
编辑识别 EC2 实例通过假定角色与 AWS IAM 服务交互的情况。这是一种不常见的行为,可能表明攻击者正在使用被盗凭据进一步利用环境。例如,假定角色可用于创建新用户以实现持久性或添加权限以提升权限。EC2 实例使用其 EC2 ID 作为会话名称来假定角色。此规则查找“i-”模式,这是由 EC2 实例启动的假定角色会话的起始模式。这是一条[构建块](https://elastic.ac.cn/guide/en/security/current/building-block-rule.html)规则,本身不会生成警报。它旨在与其他规则结合使用,以检测可疑活动。
规则类型: eql
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 低
风险评分: 21
每隔: 5m 运行
搜索索引时间范围: now-6m (日期数学格式,另请参见 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 领域: 云
- 数据源: AWS
- 数据源: Amazon Web Services
- 数据源: AWS EC2
- 数据源: AWS IAM
- 用例: 身份和访问审计
- 战术: 权限提升
- 战术: 持久性
- 规则类型: BBR
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑any where event.dataset == "aws.cloudtrail"
and event.provider == "iam.amazonaws.com"
and aws.cloudtrail.user_identity.type == "AssumedRole"
and stringContains(user.id, ":i-")
and (
startsWith(event.action, "Update")
or startsWith(event.action, "Attach")
or startsWith(event.action, "Detach")
or startsWith(event.action, "Create")
or startsWith(event.action, "Delete")
or startsWith(event.action, "Add")
or startsWith(event.action, "Remove")
or startsWith(event.action, "Put")
or startsWith(event.action, "Tag")
)
框架: MITRE ATT&CKTM
-
战术
- 名称: 持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称: 有效帐户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称: 云帐户
- ID: T1078.004
- 参考 URL: https://attack.mitre.org/techniques/T1078/004/
-
技术
- 名称: 帐户操作
- ID: T1098
- 参考 URL: https://attack.mitre.org/techniques/T1098/
-
子技术
- 名称: 其他云凭据
- ID: T1098.001
- 参考 URL: https://attack.mitre.org/techniques/T1098/001/
-
子技术
- 名称: 其他云角色
- ID: T1098.003
- 参考 URL: https://attack.mitre.org/techniques/T1098/003/
-
战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/