AWS S3 存储桶策略添加以与外部账户共享
编辑AWS S3 存储桶策略添加以与外部账户共享
编辑识别 AWS S3 存储桶策略更改以与外部账户共享权限。攻击者可能会尝试通过与外部账户共享来后门 S3 存储桶。这可以用来泄露数据或向其他攻击者提供访问权限。此规则通过 PutBucketPolicy API 调用识别存储桶策略的更改,其中策略包含不包含存储桶所有者 AWS 账户 ID 的 Effect=Allow 语句。
规则类型: eql
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 中等
风险评分: 47
每隔: 5 分钟
每次执行的最大告警数: 100
参考:
标签:
- 领域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS S3
- 用例:威胁检测
- 战术:渗透
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 AWS S3 存储桶策略更改以与外部账户共享
此规则检测何时更改 AWS S3 存储桶策略以与外部账户共享权限。攻击者可能会尝试通过与外部账户共享来后门 S3 存储桶以泄露数据或向其他攻击者提供访问权限。此规则通过 PutBucketPolicy API 调用识别存储桶策略的更改,其中策略包含不包含存储桶所有者 AWS 账户 ID 的 Effect=Allow 语句。
可能的调查步骤
-
识别行为者: 查看
aws.cloudtrail.user_identity.arn和aws.cloudtrail.user_identity.access_key_id字段以识别谁进行了更改。验证此行为者是否通常执行此类操作以及他们是否具有必要的权限。 -
查看请求详细信息: 检查
aws.cloudtrail.request_parameters以了解对存储桶策略所做的具体更改。查找可能表明未经授权或恶意修改的任何异常参数。 -
分析请求来源: 调研
source.ip和source.geo字段以确定请求的地理来源。外部或意外位置可能表明凭据被泄露或未经授权的访问。 -
结合时间戳进行关联: 使用
@timestamp字段检查更改发生的时间。在非营业时间或正常维护窗口之外进行的修改可能需要进一步审查。 - 与其他活动相关联: 搜索此更改前后相关的 CloudTrail 事件,以查看同一行为者或 IP 地址是否参与了其他可能可疑的活动。
误报分析
- 合法的管理操作: 确认存储桶策略更改是否与计划更新、开发活动或变更管理系统中记录的合法管理任务一致。
- 一致性检查: 将操作与用户或组织执行的类似操作的历史数据进行比较。如果操作与过去的合法活动一致,则可能表明存在误报。
-
通过结果验证: 检查
aws.cloudtrail.response_elements和event.outcome以确认更改是否根据策略成功且有意进行。
响应和补救
- 必要时立即审查和撤销: 如果更改未经授权,请更新存储桶策略以删除任何未经授权的权限并将其恢复到其先前状态。
- 增强监控和告警: 调整监控系统以告警类似操作,尤其是涉及敏感数据或权限的操作。
- 教育和培训: 为具有管理权限的用户提供更多培训,让他们了解有关存储桶策略管理和共享权限的安全最佳实践的重要性。
- 审计存储桶策略和权限: 对所有存储桶策略和关联权限进行全面审计,以确保它们符合最小权限原则。
- 事件响应: 如果有恶意意图或安全漏洞的迹象,请启动事件响应协议以减轻任何损害并防止将来发生。
其他信息
有关管理 S3 存储桶策略和保护 AWS 环境的更多指导,请参阅 AWS S3 文档 和 AWS 安全最佳实践。
规则查询
编辑any where event.dataset == "aws.cloudtrail"
and event.provider == "s3.amazonaws.com"
and event.action == "PutBucketPolicy" and event.outcome == "success"
and stringContains(aws.cloudtrail.request_parameters, "Effect=Allow")
and not stringContains(aws.cloudtrail.request_parameters, aws.cloudtrail.recipient_account_id)
框架: MITRE ATT&CKTM
-
战术
- 名称:渗透
- ID:TA0010
- 参考网址:https://attack.mitre.org/tactics/TA0010/
-
技术
- 名称:将数据传输到云账户
- ID:T1537
- 参考网址:https://attack.mitre.org/techniques/T1537/