AWS IAM Roles Anywhere 配置文件创建
编辑AWS IAM Roles Anywhere 配置文件创建
编辑识别 AWS Roles Anywhere 配置文件的创建。AWS Roles Anywhere 是一项功能,允许您使用 AWS Identity and Access Management (IAM) 配置文件通过信任锚从任何位置管理对 AWS 资源的访问。此规则检测可从任何服务中假定的配置文件的创建。攻击者可能会创建与过于宽松的角色绑定的配置文件,以维持对 AWS 资源的访问。确保配置文件创建是预期的,并且信任策略已安全配置。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 低
风险评分: 21
每隔: 10 分钟
搜索索引时间范围: now-30m (日期数学格式,另请参阅 额外回溯时间
)
每次执行的最大告警数: 100
参考:
- https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html
- https://docs.datadoghq.com/security/default_rules/cloudtrail-aws-iam-roles-anywhere-trust-anchor-created/
- https://ermetic.com/blog/aws/keep-your-iam-users-close-keep-your-third-parties-even-closer-part-1/
- https://docs.aws.amazon.com/rolesanywhere/latest/APIReference/API_CreateProfile.html
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS IAM
- 用例:身份和访问审计
- 策略:持久化
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 AWS IAM Roles Anywhere 配置文件创建
此规则检测 AWS Roles Anywhere 配置文件的创建。AWS Roles Anywhere 允许您使用 AWS Identity and Access Management (IAM) 配置文件通过信任锚从任何位置管理对 AWS 资源的访问。攻击者可能会创建与过于宽松的角色绑定的配置文件,以维持对 AWS 资源的访问。务必确保配置文件创建是预期的,并且信任策略已安全配置。
可能的调查步骤
-
识别操作者: 检查
aws.cloudtrail.user_identity.arn
和aws.cloudtrail.user_identity.access_key_id
字段以识别谁创建了配置文件。验证此操作者是否通常执行此类操作以及他们是否具有必要的权限。 -
查看请求详细信息: 检查
aws.cloudtrail.request_parameters
以了解配置文件创建的具体细节。查找任何异常参数或过于宽松的角色,这些角色可能表明未经授权或恶意的活动。 -
分析请求来源: 检查
source.ip
和source.geo
字段以确定请求的位置和来源。确保请求来自已知且受信任的位置。 -
检查已创建配置文件的权限: 查看与已创建配置文件关联的
roleArns
。验证角色是否适合用户的预期操作,并且不授予过多的权限。 -
验证配置文件的配置: 确保配置文件的
durationSeconds
、enabled
和tags
按照您组织的安全策略进行配置。特别注意任何可能允许长时间访问或隐藏活动的配置。
误报分析
- 合法的管理操作: 确认配置文件创建是否与计划更新、开发活动或变更管理系统中记录的合法管理任务一致。
- 一致性检查: 将操作与用户或组织执行的类似操作的历史数据进行比较。如果操作与过去的合法活动一致,则可能表示误报。
-
通过结果验证: 检查
aws.cloudtrail.response_elements
和event.outcome
以确认配置文件创建是否成功并根据策略预期。
响应和补救措施
- 立即审查并在必要时撤销: 如果配置文件创建未经授权,请禁用或删除已创建的配置文件,并查看关联的角色和权限是否存在任何潜在的滥用情况。
- 增强监控和告警: 调整监控系统以对类似操作发出警报,尤其是涉及敏感角色或意外位置的操作。
- 教育和培训: 为具有管理权限的用户提供更多培训,让他们了解有关配置文件和角色管理的安全最佳实践以及未经授权的配置文件创建的风险的重要性。
- 审计 IAM 策略和权限: 对所有 IAM 策略和关联权限进行全面审计,以确保它们符合最小权限原则。
- 事件响应: 如果有恶意意图或安全漏洞的迹象,请启动事件响应协议以减轻任何损害并防止将来发生。
其他信息
有关管理 AWS IAM Roles Anywhere 配置文件和保护 AWS 环境的更多指导,请参阅 AWS Roles Anywhere 文档 和 AWS 安全最佳实践。此外,请咨询以下资源以获取有关配置文件管理和潜在滥用的具体详细信息: - AWS IAM Roles Anywhere 配置文件创建 API 参考 - Ermetic 博客 - 管理第三方访问
规则查询
编辑event.dataset:aws.cloudtrail and event.provider: rolesanywhere.amazonaws.com and event.action: CreateProfile and event.outcome: success
框架: MITRE ATT&CKTM
-
策略
- 名称:持久化
- ID:TA0003
- 参考网址:https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称:帐户操作
- ID:T1098
- 参考网址:https://attack.mitre.org/techniques/T1098/
-
子技术
- 名称:其他云角色
- ID:T1098.003
- 参考网址:https://attack.mitre.org/techniques/T1098/003/