使用联合用户的 AWS 单因素登录控制台

识别联合用户在未使用多因素身份验证 (MFA) 的情况下登录 AWS 管理控制台的情况。联合用户通常被授予临时凭证以访问 AWS 服务。如果联合用户在未使用 MFA 的情况下登录 AWS 管理控制台，则可能表示存在安全风险，因为 MFA 为身份验证过程增加了额外的安全层。这也可能表明滥用 STS 令牌以绕过 MFA 要求。

规则类型: esql

规则索引: 无

严重性: 中等

风险评分: 47

每隔: 5 分钟运行

搜索索引自: now-9m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

https://hackingthe.cloud/aws/post_exploitation/create_a_console_session_from_iam_credentials/

标签:

领域：云
数据来源：Amazon Web Services
数据来源：AWS
数据来源：AWS 登录
用例：威胁检测
策略：初始访问

版本: 2

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

from logs-aws.cloudtrail-* metadata _id, _version, _index
| where
    event.provider == "signin.amazonaws.com"
    and event.action == "GetSigninToken"
    and aws.cloudtrail.event_type == "AwsConsoleSignIn"
    and aws.cloudtrail.user_identity.type == "FederatedUser"
| dissect aws.cloudtrail.additional_eventdata "{%{?mobile_version_key}=%{mobile_version}, %{?mfa_used_key}=%{mfa_used}}"
| where mfa_used == "No"
| keep @timestamp, event.action, aws.cloudtrail.event_type, aws.cloudtrail.user_identity.type

框架: MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考网址：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：有效帐户
- ID：T1078
- 参考网址：https://attack.mitre.org/techniques/T1078/
子技术
- 名称：云帐户
- ID：T1078.004
- 参考网址：https://attack.mitre.org/techniques/T1078/004/

« AWS 服务配额多区域 GetServiceQuota 请求带有解密标志的 AWS Systems Manager SecureString 参数请求 »