AWS EC2 网络访问控制列表创建

编辑

AWS EC2 网络访问控制列表创建

编辑

识别 AWS Elastic Compute Cloud (EC2) 网络访问控制列表 (ACL) 或网络 ACL 中具有指定规则编号的条目的创建。

规则类型: 查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 低

风险评分: 21

每隔: 10 分钟

搜索索引自: now-60m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

领域: 云
数据源: AWS
数据源: Amazon Web Services
数据源: AWS EC2
用例: 网络安全监控
战术: 持久性

版本: 206

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。

规则查询

编辑

event.dataset:aws.cloudtrail and event.provider:ec2.amazonaws.com and event.action:(CreateNetworkAcl or CreateNetworkAclEntry) and event.outcome:success

框架: MITRE ATT&CK^TM

战术
- 名称: 持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 外部远程服务
- ID: T1133
- 参考 URL: https://attack.mitre.org/techniques/T1133/

« AWS EC2 多区域 DescribeInstances API 调用 AWS EC2 网络访问控制列表删除 »