AWS S3 存储桶服务器访问日志已禁用
编辑AWS S3 存储桶服务器访问日志已禁用
编辑识别何时对 Amazon S3 存储桶禁用服务器访问日志。服务器访问日志提供对向 S3 存储桶发出的请求的详细记录。当存储桶的服务器访问日志被禁用时,可能表明攻击者试图通过禁用包含恶意活动证据的日志来削弱防御。
规则类型: eql
规则索引:
- filebeat-*
- logs-aws.cloudtrail*
严重程度: 中等
风险评分: 47
每隔: 5 分钟
搜索索引自: now-6m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 领域: 云
- 数据源: AWS
- 数据源: Amazon Web Services
- 数据源: Amazon S3
- 用例: 资产可见性
- 战术: 防御规避
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 AWS S3 存储桶服务器访问日志已禁用
此规则检测在 AWS 中何时对 S3 存储桶禁用服务器访问日志。此类配置可能会通过阻止记录这些请求来隐藏未经授权的访问或恶意活动的证据。
详细调查步骤
-
查看受影响的 S3 存储桶: 检查已禁用服务器访问日志的存储桶详细信息 (
bucketName)。 - 确定存储在此存储桶中的数据的内容和重要性,以评估禁用日志记录的影响。
- 查看用户身份和活动:
- 调查进行更改的用户 (
user_identity.arn)。确定此用户的角色是否通常涉及管理 S3 存储桶配置。 - 检查身份验证方法以及是否使用 (
access_key_id) 的访问密钥通常用于此类配置,或者它是否偏离了正常的用法模式。 - 联系账户所有者并确认他们是否知道此活动。
- 考虑发出命令的用户源 IP 地址和地理位置
- 对于调用用户来说,它们看起来正常吗?
- 如果源是 EC2 IP 地址,它是否与您其中一个账户中的 EC2 实例相关联,或者源 IP 是否来自您无法控制的 EC2 实例?
- 如果是授权的 EC2 实例,此活动是否与实例角色或角色的正常行为相关联?是否有任何其他告警或可疑活动迹象涉及此实例?
- 与近期更改关联: 将此事件与 S3 配置的近期更改进行比较。查找任何其他最近的权限更改或异常的管理操作。
- 与其他活动关联: 搜索此更改前后相关的 CloudTrail 事件,以查看同一参与者或 IP 地址是否参与了其他可能可疑的活动。
- 通过查找涉及其他用户的类似事件来评估此行为在环境中是否普遍存在。
误报分析
- 验证可能需要禁用访问日志记录的操作要求,尤其是在出于合规性和节省成本的原因而严格管理数据保留策略的环境中。
响应和补救
- 立即审查: 如果更改未经授权,请考虑立即撤消更改以防止潜在的数据丢失。
- 增强监控: 实施监控以提醒您 S3 环境中日志配置的更改。
- 用户教育: 确保有权访问 S3 存储桶等关键资源的用户了解有关数据保留和安全性的最佳实践和公司政策。
其他信息
有关监控 Amazon S3 以及确保符合组织数据保留和安全策略的进一步指南,请参阅 AWS 官方文档 监控 Amazon S3。
规则查询
编辑any where event.dataset == "aws.cloudtrail" and event.action == "PutBucketLogging" and event.outcome == "success" and not stringContains(aws.cloudtrail.request_parameters, "LoggingEnabled")
框架: MITRE ATT&CKTM
-
战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 削弱防御
- ID: T1562
- 参考 URL: https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称: 禁用或修改云日志
- ID: T1562.008
- 参考 URL: https://attack.mitre.org/techniques/T1562/008/