使用外部 CA 创建的 AWS IAM Roles Anywhere 信任锚
编辑使用外部 CA 创建的 AWS IAM Roles Anywhere 信任锚
编辑识别何时创建了使用外部证书颁发机构的 AWS IAM Roles Anywhere 信任锚。AWS Roles Anywhere 配置文件是管理员可以创建的合法配置文件,用于允许从任何位置访问。此规则检测何时使用 AWS 证书管理器私有证书颁发机构 (ACM PCA) 未管理的外部证书颁发机构创建信任锚。攻击者可能会利用此方法来维持环境中的持久性。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 中等
风险评分: 47
每隔: 10 分钟
搜索索引时间范围: now-30m (日期数学格式,另请参见 其他回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 领域: 云
- 数据源: AWS
- 数据源: Amazon Web Services
- 数据源: AWS IAM
- 用例: 身份和访问审计
- 策略: 持久性
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查使用外部 CA 创建的 AWS IAM Roles Anywhere 信任锚
此规则检测何时创建了使用外部证书颁发机构的 AWS IAM Roles Anywhere 信任锚。AWS Roles Anywhere 配置文件是管理员可以创建的合法配置文件,用于允许从任何位置访问。此规则识别何时使用 AWS 证书管理器私有证书颁发机构 (ACM PCA) 未管理的外部证书颁发机构创建信任锚。攻击者可能会利用此方法来维持环境中的持久性。
可能的调查步骤
-
识别执行者: 查看
aws.cloudtrail.user_identity.arn和aws.cloudtrail.user_identity.access_key_id字段以识别谁进行了更改。验证此执行者是否通常执行此类操作,以及他们是否具有必要的权限。 -
查看请求详细信息: 检查
aws.cloudtrail.request_parameters以了解信任锚创建的具体详细信息。查找可能表明未经授权或恶意修改的任何异常参数。 -
分析请求来源: 调查
source.ip和source.geo字段以确定请求的地理来源。外部或意外位置可能表明凭据被泄露或未经授权的访问。 -
结合时间戳进行分析: 使用
@timestamp字段检查信任锚何时创建。在非工作时间或非定期维护窗口期间发生的更改可能需要进一步审查。 - 与其他活动关联: 在此更改之前和之后搜索相关的 CloudTrail 事件,以查看同一执行者或 IP 地址是否参与了其他可能可疑的活动。
- 验证证书颁发机构: 确保使用的外部证书颁发机构已获得授权并得到认可。未经授权的外部 CA 可能是恶意活动的危险信号。
误报分析
- 合法的管理操作: 确认信任锚创建是否与计划的更新、开发活动或更改管理系统中记录的合法管理任务相一致。
- 一致性检查: 将操作与用户或组织内执行的类似操作的历史数据进行比较。如果操作与过去的合法活动一致,则可能表示误报。
-
通过结果验证: 检查
aws.cloudtrail.response_elements和event.outcome以确认创建是否成功且根据策略预期。
响应和补救措施
- 立即审查并在必要时撤销: 如果创建未经授权,请删除信任锚并撤销任何关联的权限。
- 增强监控和告警: 调整监控系统以对类似操作发出告警,尤其是涉及使用外部证书颁发机构创建信任锚的操作。
- 教育和培训: 为具有管理权限的用户提供更多培训,让他们了解有关 IAM Roles Anywhere 和证书颁发机构使用的安全最佳实践的重要性。
- 审计 IAM 角色和策略: 对所有 IAM 角色和关联策略进行全面审计,以确保它们遵循最小权限原则。
- 事件响应: 如果有恶意企图或安全漏洞的迹象,请启动事件响应协议以减轻任何损害并防止将来发生。
其他信息
有关管理 IAM Roles Anywhere 和保护 AWS 环境的更多指南,请参阅 AWS IAM Roles Anywhere 文档 和 AWS 安全最佳实践。此外,请咨询以下资源以获取有关 IAM 角色和信任锚的具体详细信息: - AWS IAM Roles Anywhere 简介 - Ermetic 博客关于 IAM 用户和第三方
规则查询
编辑event.dataset: aws.cloudtrail
and event.provider: rolesanywhere.amazonaws.com
and event.action: CreateTrustAnchor
and event.outcome: success
and not aws.cloudtrail.request_parameters: *sourceType=AWS_ACM_PCA*
框架: MITRE ATT&CKTM
-
策略
- 名称: 持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称: 账户操作
- ID: T1098
- 参考 URL: https://attack.mitre.org/techniques/T1098/
-
子技术
- 名称: 其他云角色
- ID: T1098.003
- 参考 URL: https://attack.mitre.org/techniques/T1098/003/