AWS IAM 危 compromisedKeyQuarantine 策略附加到用户
编辑AWS IAM 危 compromisedKeyQuarantine 策略附加到用户
编辑此规则查找使用 IAM AttachUserPolicy API 操作将 CompromisedKeyQuarantine 或 CompromisedKeyQuarantineV2 AWS 托管策略附加到现有 IAM 用户的情况。此策略拒绝访问某些操作,并在 IAM 用户的凭据被泄露或公开暴露时由 AWS 团队应用。
规则类型: eql
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引时间范围: now-6m (日期数学格式,另请参见 附加回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 领域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS IAM
- 资源:调查指南
- 用例:身份和访问审计
- 策略:凭据访问
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 AWS IAM 危 compromisedKeyQuarantine 策略附加到用户
AWS IAM CompromisedKeyQuarantine 和 CompromisedKeyQuarantineV2 托管策略拒绝某些操作,AWS 团队会将其应用于具有暴露凭据的用户。此操作会伴随一个支持案例,其中指定在分离策略之前应遵循的说明。
可能的调查步骤
-
识别潜在受损身份: 查看
aws.cloudtrail.request_parameters的userName参数以确定被隔离的 IAM 实体。 - 与 AWS 支持案例结合起来分析: 查看来自 AWS 的任何包含有关隔离帐户和隔离原因的附加信息。
- 遵循支持案例说明: 请勿撤消隔离策略附加或删除受损密钥。请改用您的支持案例中提供的说明。
- 与其他活动关联: 搜索此更改之前和之后的相关 CloudTrail 事件,以查看同一参与者或 IP 地址是否参与了潜在的可疑活动。
- 采访相关人员: 如果受损密钥属于用户,请与负责管理受损密钥的人员或团队核实这些相关操作的目的和授权。
误报分析
- 此操作的误报应该不多,因为它是 AWS 对受损或公开暴露的凭据作出的响应而启动的。
响应和补救
- 立即审查和撤销: 更新用户 IAM 权限以删除隔离策略并禁用受损凭据。
- 策略更新: 查看并可能更新您组织的凭据存储策略,以加强控制并防止公开暴露。
- 事件响应: 如果确认存在恶意意图,则将其视为数据泄露事件并启动事件响应协议。这包括进一步调查、遏制和恢复。
其他信息
有关在 AWS 环境中管理和保护凭据的更多指导,请参阅有关安全最佳实践和 修复潜在受损的 AWS 凭据 的 AWS IAM 用户指南。
规则查询
编辑any where event.dataset == "aws.cloudtrail" and event.action == "AttachUserPolicy" and event.outcome == "success" and stringContains(aws.cloudtrail.request_parameters, "AWSCompromisedKeyQuarantine")
框架: MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:不安全的凭据
- ID:T1552
- 参考网址:https://attack.mitre.org/techniques/T1552/