无需 MFA 的 AWS 根用户登录
编辑无需 MFA 的 AWS 根用户登录
编辑识别尝试在未使用多因素身份验证 (MFA) 的情况下以 root 用户身份登录 AWS 的行为。Amazon AWS 最佳实践表明,应通过 MFA 保护 root 用户。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 高
风险评分: 73
运行频率: 10 分钟
搜索索引时间范围: now-60m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 领域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS Route53
- 用例:身份和访问审计
- 资源:调查指南
- 策略:权限提升
版本: 209
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查无需 MFA 的 AWS 根用户登录
AWS 中的多因素身份验证 (MFA) 是一种简单的最佳实践,它在用户名和密码之上增加了额外的保护层。启用 MFA 后,当用户登录到 AWS 管理控制台时,系统会提示他们输入用户名和密码,以及来自其 AWS MFA 设备的身份验证代码。这些多种因素共同为您的 AWS 帐户设置和资源提供了更高的安全性。
有关在 AWS 中使用 MFA 的更多信息,请访问官方文档。
AWS 根帐户是拥有访问帐户中所有 AWS 服务和资源的完整权限的唯一身份,它是在创建 AWS 帐户时创建的。AWS 强烈建议您不要将 root 用户用于您的日常任务,即使是管理任务也不要使用。相反,请遵守最佳实践,仅使用 root 用户创建您的第一个 IAM 用户。然后安全地锁存 root 用户凭据,并仅使用它们执行一些帐户和服务管理任务。Amazon 提供了一个需要 root 用户的任务列表。
此规则查找尝试以 root 用户身份登录 AWS 但未使用多因素身份验证 (MFA) 的行为,这意味着帐户未正确保护。
可能的调查步骤
- 调查过去 48 小时内与用户帐户相关的其他告警。
- 通过查看日志中的过去事件来检查此活动在环境中是否常见。
- 考虑发出命令的调用用户的源 IP 地址和地理位置。它们对于调用用户来说是否正常?
- 检查帐户在过去 24 小时内执行的命令、API 调用和数据管理操作。
- 联系帐户所有者并确认他们是否知道此活动。
- 如果您怀疑帐户已被入侵,请通过跟踪帐户在过去 24 小时内访问的服务器、服务和数据来确定可能受影响的资产。
误报分析
- 虽然此活动本身并非恶意,但 root 帐户必须使用 MFA。安全团队应解决任何潜在的良性真阳性 (B-TP),因为此配置可能会危及整个云环境。
响应和补救
- 根据分类结果启动事件响应流程。
- 确定事件的可能影响并相应地设置优先级;以下操作可以帮助您了解上下文
- 确定帐户在云环境中的角色。
- 确定所涉及的服务或服务器的关键程度。
- 与您的 IT 团队合作,确定并最大程度地减少对用户的影响。
- 确定攻击者是否正在横向移动并入侵其他帐户、服务器或服务。
- 确定此活动是否存在任何监管或法律影响。
- 为用户配置多因素身份验证。
- 遵循 AWS概述的安全最佳实践。
- 使用事件响应数据,更新日志记录和审计策略以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑需要 AWS 集群集成、Filebeat 模块或结构类似的数据才能与该规则兼容。
规则查询
编辑event.dataset:aws.cloudtrail and event.provider:signin.amazonaws.com and event.action:ConsoleLogin and aws.cloudtrail.user_identity.type:Root and aws.cloudtrail.console_login.additional_eventdata.mfa_used:false and event.outcome:success
框架: MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考网址:https://attack.mitre.org/techniques/T1078/