已添加 AWS S3 存储桶过期生命周期配置
编辑已添加 AWS S3 存储桶过期生命周期配置
编辑识别添加到 S3 存储桶的过期生命周期配置。生命周期配置可用于管理存储桶中的对象,包括设置过期策略。此规则检测何时将生命周期配置添加到 S3 存储桶,这可能表明存储桶中的对象将在指定时间段后自动删除。这可用于通过删除包含恶意活动证据的对象来逃避检测。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail*
严重性: 低
风险评分: 21
每隔: 10 分钟运行
搜索索引自: now-60m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 领域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:Amazon S3
- 用例:资产可见性
- 策略:防御规避
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查已添加的 AWS S3 存储桶过期生命周期配置
此规则检测何时将过期生命周期配置添加到 AWS 中的 S3 存储桶。此类配置可以自动删除存储桶中指定时间段后的对象,可能会通过自动删除日志或其他数据来掩盖未经授权的访问或恶意活动的证据。
详细调查步骤
-
查看受影响的 S3 存储桶: 检查已添加生命周期配置的存储桶详细信息 (
bucketName)。 - 确定存储在此存储桶中的数据的內容和重要性,以评估生命周期策略的影响。
- 分析生命周期配置:
-
过期策略: 注意生命周期规则中
Expiration下的Days参数。这表示数据创建后在自动删除之前将在存储桶中保留多长时间。 -
规则 ID 和状态: 查看生命周期规则的
ID和Status以了解其操作范围和激活状态。 - 用户身份和活动:
-
用户详细信息: 调查进行更改的用户 (
user_identity.arn)。确定此用户的角色是否通常涉及管理 S3 存储桶配置。 -
身份验证详细信息: 检查身份验证方法以及所使用的访问密钥 (
access_key_id) 是否通常用于此类配置,或者是否偏离了正常的用法模式。 - 源 IP 和用户代理:
-
源 IP 地址: 发出请求的 IP 地址 (
source.ip) 可以提供有关请求者地理位置的线索。确定此位置是否与用户的已知位置一致。 - 用户代理: 分析用户代理字符串以了解发出请求的客户端或服务的类型,这有助于识别脚本自动化与手动更改。
可能的受损或滥用指标
- 频繁更改: 查找对相同或多个存储桶中生命周期策略的频繁修改,这可能表明试图动态操纵数据保留。
- 异常用户活动: 与用户的典型行为模式不符的活动,例如在非工作时间或异常位置进行更改,应标记为进一步调查。
误报分析
- 验证可能需要此类生命周期策略的操作要求,尤其是在严格管理数据保留策略以符合法规和节省成本的环境中。
响应和补救
- 立即审查: 如果更改未经授权,请考虑立即撤消生命周期配置更改,以防止潜在的数据丢失。
- 增强监控: 实施监控以提醒您 S3 环境中生命周期配置的更改。
- 用户教育: 确保有权访问关键资源(如 S3 存储桶)的用户了解有关数据保留和安全性的最佳实践和公司策略。
附加信息
有关管理 S3 生命周期策略以及确保符合组织数据保留和安全策略的更多指导,请参阅 AWS 官方文档 S3 生命周期配置。
设置
编辑此规则要求将 S3 数据事件记录到 CloudTrail。CloudTrail 跟踪可以在 AWS 管理控制台中配置,也可以使用 AWS CLI 配置以记录 S3 数据事件。
规则查询
编辑event.dataset: "aws.cloudtrail" and event.provider: "s3.amazonaws.com" and
event.action: PutBucketLifecycle and event.outcome: success and
aws.cloudtrail.request_parameters: (*LifecycleConfiguration* and *Expiration=*)
框架: MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考网址:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:指标删除
- ID:T1070
- 参考网址:https://attack.mitre.org/techniques/T1070/