AWS IAM 客户管理策略由罕见用户附加到角色
编辑AWS IAM 客户管理策略由罕见用户附加到角色
编辑检测 AWS Identity and Access Management (IAM) 客户管理策略是否由异常或未经授权的用户附加到角色。客户管理策略是在 AWS 账户中创建和控制的策略,在附加到角色或用户时授予特定的权限。此规则通过标记客户管理策略由意外执行者附加到角色的情况来识别潜在的权限提升,这可能表明未经授权的访问或滥用。攻击者可能会将策略附加到角色以扩展权限并提升其在 AWS 环境中的权限。这是一个 [新术语](https://elastic.ac.cn/guide/en/security/current/rules-ui-create.html#create-new-terms-rule) 规则,它使用 aws.cloudtrail.user_identity.arn 和 aws.cloudtrail.flattened.request_parameters.roleName 字段来检查执行者 ARN 和目标角色名称的组合在过去 14 天内是否未出现过。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 低
风险评分: 21
每隔: 5 分钟
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 领域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS IAM
- 资源:调查指南
- 用例:身份和访问审计
- 策略:权限提升
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 AWS IAM 客户管理策略由异常用户附加到角色
此规则检测客户管理的 IAM 策略是否由异常或未经授权的用户附加到角色。此活动可能表明 AWS 环境中存在潜在的权限提升尝试。攻击者可能会将策略附加到角色以扩展权限,从而增加其功能并获得提升的访问权限。
可能的调查步骤
- 识别发起用户和目标角色:
-
用户身份: 检查
aws.cloudtrail.user_identity.arn字段以确定发起策略附加的用户。确认此用户是否通常具有修改 IAM 角色的权限,以及其活动是否与其通常的职责一致。 -
目标角色: 查看
aws.cloudtrail.flattened.request_parameters.roleName以识别附加策略的角色。评估修改此角色对于此用户来说是否预期,或者此操作在您的环境中是否异常。 - 分析附加的策略:
-
策略 ARN: 检查
aws.cloudtrail.flattened.request_parameters.policyArn字段以识别附加到角色的特定客户管理策略。评估此策略是否授予敏感权限,尤其是可能启用特权操作或数据访问的权限。 -
策略权限: 检查策略内容以确定授予的权限范围。启用诸如
s3:*、ec2:*或iam:*之类操作的策略可用于更广泛的访问、持久性或横向移动。 - 查看源和用户代理详细信息:
-
源 IP 和位置: 分析
source.address和source.geo字段以确认策略附加源自的 IP 地址和地理位置。验证这是否与发起用户的预期位置相符。 -
用户代理分析: 检查
user_agent.original以确定是否使用 AWS CLI、SDK 或其他工具执行此操作。诸如aws-cli或boto3之类的工具标识符可能表示自动化,而其他工具可能表示交互式会话。 - 评估异常行为模式:
- 用户的历史活动: 检查发起用户是否有将策略附加到角色的历史记录。策略附加中的异常模式可能表明可疑行为,尤其是在用户缺乏授权的情况下。
- 角色修改历史记录: 调查目标角色是否经常由此用户或其他用户修改。对角色的重复、未经授权的修改可能表明试图维持提升的访问权限。
- 与相关的 CloudTrail 事件相关联:
-
其他 IAM 或 CloudTrail 活动: 通过查看
event.actionbyevent.provider来查找与同一用户或角色相关的近期操作,以识别访问了哪些 AWS 服务。这可能提供有关用户意图或采取的其他操作的上下文。 - 更广泛的可疑模式: 确定最近是否发生了类似的异常事件,这可能表明 AWS 账户中存在协调的或升级的攻击模式。
误报分析
- 授权的管理操作: IAM 管理员可能会合法地将策略附加到角色,作为常规角色管理的一部分。验证用户是否已获授权以及活动是否与预期的管理任务一致。
- 特定于角色的修改: 经常进行策略更新的角色可能会在标准操作期间触发此规则。考虑监控模式或为特定用户或角色建立已知异常情况(在适当情况下)。
响应和补救
- 立即访问审查: 如果策略附加未经授权,请考虑分离策略并审查授予发起用户的权限。
- 限制角色修改权限: 限制哪些用户或角色可以将策略附加到关键 IAM 角色。应用最小权限原则以降低未经授权的策略更改的风险。
- 增强监控和警报: 启用对 IAM 策略修改的实时警报和监控,以便及时检测类似操作。
- 定期策略审计: 定期审计 IAM 策略和角色权限,以确保快速识别和解决未经授权的更改。
其他信息
有关在 AWS 环境中管理 IAM 策略和角色的更多信息,请参阅 AWS IAM 文档 和 AWS 安全最佳实践。
规则查询
编辑event.dataset: "aws.cloudtrail"
and event.provider: "iam.amazonaws.com"
and event.action: "AttachRolePolicy"
and event.outcome: "success"
and not aws.cloudtrail.flattened.request_parameters.policyArn: arn\:aws\:iam\:\:aws\:policy*
框架: MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考 URL:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:滥用提升控制机制
- ID:T1548
- 参考 URL:https://attack.mitre.org/techniques/T1548/
-
子技术
- 名称:临时提升的云访问
- ID:T1548.005
- 参考 URL:https://attack.mitre.org/techniques/T1548/005/