AWS RDS 数据库实例已恢复
编辑AWS RDS 数据库实例已恢复
编辑拥有被入侵凭据的攻击者可能会尝试复制正在运行或已删除的 RDS 数据库,以逃避防御机制或访问数据。此规则识别使用 RDS RestoreDBInstanceFromDBSnapshot 或 RestoreDBInstanceFromS3 API 操作成功恢复数据库实例的尝试。
规则类型: eql
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 中等
风险评分: 47
运行频率: 5 分钟
每次执行的最大告警数: 100
参考:
- https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html
- https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromS3.html
- https://github.com/RhinoSecurityLabs/pacu/blob/master/pacu/modules/rds__explore_snapshots/main.py
- https://cloud.hacktricks.xyz/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation#rds-createdbsnapshot-rds-restoredbinstancefromdbsnapshot-rds-modifydbinstance
标签:
- 领域: 云
- 数据来源: AWS
- 数据来源: Amazon Web Services
- 数据来源: AWS RDS
- 用例: 资源可见性
- 策略: 防御规避
版本: 207
规则作者:
- Austin Songer
- Elastic
规则许可证: Elastic License v2
规则查询
编辑any where event.dataset == "aws.cloudtrail"
and event.provider == "rds.amazonaws.com"
and event.action in ("RestoreDBInstanceFromDBSnapshot", "RestoreDBInstanceFromS3")
and event.outcome == "success"
框架: MITRE ATT&CKTM
-
策略
- 名称: 防御规避
- ID: TA0005
- 参考网址: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 修改云计算基础设施
- ID: T1578
- 参考网址: https://attack.mitre.org/techniques/T1578/
-
子技术
- 名称: 创建云实例
- ID: T1578.002
- 参考网址: https://attack.mitre.org/techniques/T1578/002/
-
子技术
- 名称: 还原云实例
- ID: T1578.004
- 参考网址: https://attack.mitre.org/techniques/T1578/004/