› › ›

AWS EC2 安全组配置更改

编辑

AWS EC2 安全组配置更改

编辑

识别 AWS 安全组配置的更改。安全组类似于虚拟防火墙，修改配置可能会允许未授权的访问。威胁参与者可能会滥用此功能来建立持久性、泄露数据或在 AWS 环境中进行横向移动。

规则类型: 查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 低

风险评分: 21

每隔: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security-groups.html

标签:

领域: 云
数据源: AWS
数据源: Amazon Web Services
数据源: AWS EC2
用例: 网络安全监控
资源: 调查指南
战术: 持久性
战术: 防御规避

版本: 207

规则作者:

Elastic
Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

调查 AWS EC2 安全组配置更改

此规则识别对 AWS 安全组的任何更改，安全组充当虚拟防火墙，控制诸如 EC2 实例等资源的入站和出站流量。安全组配置的修改可能会使关键资产面临未授权访问的风险。威胁参与者可能会利用此类更改来建立持久性、泄露数据或在 AWS 环境中进行横向移动。

可能的调查步骤

识别修改的安全组:
- 安全组 ID: 检查 aws.cloudtrail.flattened.request_parameters.groupId 字段以识别受影响的特定安全组。
- 规则更改: 查看 aws.cloudtrail.flattened.response_elements.securityGroupRuleSet 以确定新的规则或配置，包括任何添加或删除的 IP 范围、协议更改和端口规范。
查看用户上下文:
- 用户身份: 检查 aws.cloudtrail.user_identity.arn 字段以确定哪个用户或角色进行了修改。验证这是否是授权管理员或潜在的受损账户。
- 访问模式: 分析此用户是否定期与安全组配置交互，或者此事件是否与其账户的正常情况不符。
分析配置更改:
- 出站与入站: 通过查看 securityGroupRuleSet 中的 isEgress 等字段，确定更改是否影响了入站（ingress）或出站（egress）流量。对出站流量的未授权更改可能表明数据泄露企图。
- IP 范围和端口: 评估任何添加的 IP 范围，尤其是 0.0.0.0/0，这会将资源暴露给互联网。还应评估端口更改，以确保仅打开必要的端口。
检查用户代理和源 IP:
- 用户代理分析: 检查 user_agent.original 字段以识别使用的工具或应用程序，例如 AWS 控制台或 Terraform，这可能揭示操作是自动执行还是手动执行。
- 源 IP 和地理位置: 使用 source.address 和 source.geo 字段验证 IP 地址和地理位置是否与组织的预期位置匹配。意外的 IP 或区域可能表明未授权的访问。
评估持久性指标:
- 重复更改: 调查是否最近在多个安全组中进行了类似的更改，这可能表明试图维持或扩展访问。
- 权限审查: 确认用户的 IAM 策略配置为仅在必要时限制对安全组的更改。
与其他 CloudTrail 事件关联:
- 交叉引用其他安全事件: 查找相关的操作，例如 AuthorizeSecurityGroupIngress、CreateSecurityGroup 或 RevokeSecurityGroupIngress，这些操作可能表明未授权访问的其他或准备步骤。
- 监控 IAM 或网络更改: 检查同一时间段内的 IAM 修改、网络接口更改或其他配置更新，以检测更广泛的恶意活动。

误报分析

常规安全更改: 安全组修改可能是常规基础设施维护的一部分。验证此操作是否与已知的计划管理活动一致。
自动化配置管理: 如果您使用 Terraform 或 CloudFormation 等自动化工具，请确认更改是否与预期的配置漂移更正或部署匹配。

响应和修复

恢复未授权的更改: 如果未经授权，请将安全组配置恢复到其先前状态以保护环境。
限制安全组权限: 从任何受损或不必要的账户中删除修改安全组的权限，以限制未来的访问。
隔离受影响的资源:如有必要，隔离任何受影响的实例或资源以防止进一步的未授权活动。
审核 IAM 和安全组策略: 定期审查与安全组相关的权限，以确保最小权限访问并防止过度访问。

其他信息

有关管理 AWS 安全组和最佳实践的更多详细信息，请参阅 AWS EC2 安全组文档和 AWS 安全最佳实践。

规则查询

编辑

event.dataset: "aws.cloudtrail"
    and event.provider: "ec2.amazonaws.com"
    and event.action:(
            "AuthorizeSecurityGroupEgress" or
            "CreateSecurityGroup" or
            "ModifyInstanceAttribute" or
            "ModifySecurityGroupRules" or
            "RevokeSecurityGroupEgress" or
            "RevokeSecurityGroupIngress")
    and event.outcome: "success"

框架: MITRE ATT&CK^TM

战术
- 名称: 持久性
- ID: TA0003
- 参考网址: https://attack.mitre.org/tactics/TA0003/
战术
- 名称: 防御规避
- ID: TA0005
- 参考网址: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 削弱防御
- ID: T1562
- 参考网址: https://attack.mitre.org/techniques/T1562/
子技术
- 名称: 禁用或修改云防火墙
- ID: T1562.007
- 参考网址: https://attack.mitre.org/techniques/T1562/007/

« AWS EC2 网络访问控制列表删除 AWS EC2 快照活动 »