« AWS IAM 由罕见用户将客户管理的策略附加到角色 AWS IAM 组创建 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和警报 预构建规则参考

AWS IAM 多因素认证设备停用

编辑

AWS IAM 多因素认证设备停用

编辑

识别指定的多因素认证 (MFA) 设备的停用,并将其从最初启用其关联的用户名称中移除。在 AWS Identity and Access Management (IAM) 中,必须先停用设备,然后才能将其删除。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-aws.cloudtrail-*

严重性: 中等

风险评分: 47

每隔: 10 分钟

搜索索引自: now-60m (日期数学格式,另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域:云
  • 数据源:AWS
  • 数据源:Amazon Web Services
  • 数据源:AWS IAM
  • 资源:调查指南
  • 策略:影响
  • 策略:持久性

版本: 210

规则作者:

  • Elastic
  • Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 AWS IAM 多因素认证设备停用

AWS 中的多因素认证 (MFA) 是一种简单的最佳实践,它在您的用户名和密码之上增加了额外的保护层。启用 MFA 后,当用户登录到 AWS 管理控制台时,系统会提示他们输入用户名和密码(第一个因素——他们知道的内容),以及来自其 AWS MFA 设备的身份验证代码(第二个因素——他们拥有的内容)。综合起来,这些多个因素为您的 AWS 账户设置和资源提供了更高的安全性。

有关在 AWS 中使用 MFA 的更多信息,请访问 官方文档

此规则查找 AWS MFA 设备的停用或删除。这些修改会削弱账户安全性,并可能导致账户和其他资产受到损害。

可能的调查步骤

  • 确定执行此操作的用户账户以及它是否应该执行此类操作。
  • 调查过去 48 小时内与此用户账户关联的其他警报。
  • 联系账户和资源所有者,并确认他们是否知道此活动。
  • 检查此操作是否已获批准并根据组织的变更管理策略执行。
  • 如果您怀疑账户已被泄露,请通过跟踪账户在过去 24 小时内访问的服务器、服务和数据来确定可能受损的资产范围。

误报分析

  • 虽然管理员可以执行此活动,但所有用户都必须使用 MFA。安全团队应解决任何潜在的良性真阳性 (B-TP),因为此配置可能会危及用户和域。

响应和补救

  • 根据分类结果启动事件响应流程。
  • 在调查和响应期间禁用或限制账户。
  • 确定事件的可能影响并相应地进行优先级排序;以下操作可以帮助您获得上下文
  • 确定账户在云环境中的角色。
  • 评估受影响的服务和服务器的关键性。
  • 与您的 IT 团队合作,确定并最大程度地减少对用户的影响。
  • 确定攻击者是否正在横向移动并泄露其他账户、服务器或服务。
  • 确定与此活动相关的任何监管或法律后果。
  • 调查受攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受损账户。根据需要重置密码或删除 API 密钥以撤销攻击者对环境的访问权限。与您的 IT 团队合作,在执行这些操作期间最大程度地减少对业务运营的影响。
  • 重新激活用户的多因素身份验证。
  • 审查分配给涉嫌用户的权限,以确保遵循最小权限原则。
  • 实施 AWS 概述的安全最佳实践。
  • 确定攻击者滥用的初始载体,并采取措施防止通过相同载体重新感染。
  • 使用事件响应数据更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑
event.dataset:aws.cloudtrail and event.provider:iam.amazonaws.com and event.action:(DeactivateMFADevice or DeleteVirtualMFADevice) and event.outcome:success

框架: MITRE ATT&CKTM

« AWS IAM 由罕见用户将客户管理的策略附加到角色 AWS IAM 组创建 »