AWS SNS 邮件订阅由异常用户
编辑AWS SNS 邮件订阅由异常用户
编辑识别某个 SNS 主题是否被不常执行此操作的用户电子邮件地址订阅。攻击者可能会订阅 SNS 主题以收集敏感信息或通过外部电子邮件地址泄露数据。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 低
风险评分: 21
每隔: 5m
搜索索引时间范围: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 领域: 云
- 数据源: AWS
- 数据源: Amazon Web Services
- 数据源: AWS SNS
- 资源: 调查指南
- 用例: 威胁检测
- 策略: 渗透
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 AWS SNS 邮件订阅由异常用户
此规则识别某个 SNS 主题是否被不常执行此操作的用户电子邮件地址订阅。虽然订阅 SNS 主题是一种常见做法,但攻击者可能会利用此功能通过外部电子邮件地址收集敏感信息或泄露数据。
可能的调查步骤
-
识别操作者: 检查
aws.cloudtrail.user_identity.arn字段以识别请求订阅的用户。验证此操作者是否通常执行此类操作并拥有必要的权限。此活动可能不常来自某些用户类型,例如假定的角色或联合用户。 -
审查 SNS 订阅事件: 分析 CloudTrail 日志中
Subscribe操作的详细信息 -
主题: 查看
aws.cloudtrail.request_parameters.topicArn字段以识别参与订阅的 SNS 主题。 -
协议和端点: 检查
aws.cloudtrail.request_parameters.protocol和aws.cloudtrail.request_parameters.endpoint字段以确认订阅的协议和电子邮件地址。确认此端点是否与已知或受信任的实体关联。 -
订阅状态: 检查
aws.cloudtrail.response_elements.subscriptionArn字段以获取订阅的当前状态,并注意它是否需要确认。 - 验证授权: 评估用户是否通常参与 SNS 订阅操作,以及他们是否被授权对指定主题执行此操作。
- 与相关事件关联: 审查事件时间周围的其他相关 CloudTrail 日志,以查看同一用户或 IP 地址的其他操作。查找涉及其他 AWS 服务(例如 S3 或 IAM)的活动,这些活动可能表明存在其他可疑行为。
- 评估订阅端点: 确定电子邮件端点是否合法或与任何已知实体关联。这可能需要检查内部文档或联系相关的 AWS 账户管理员。
-
检查发布操作: 调查同一 SNS 主题上任何后续的
Publish操作,这些操作可能表明存在渗透尝试或数据泄露。如果检测到发布操作,请进一步调查消息的内容。 - 审查 IAM 策略: 检查用户或角色的 IAM 策略,以确保订阅操作在其权限范围内或应该在其中。
误报分析
- 历史用户操作: 验证用户是否具有在 SNS 主题上执行类似操作的历史记录。一致、重复的操作可能表明合法使用。
- 计划或自动化任务: 确认订阅操作是否与您的组织授权的计划任务或自动化通知一致。
响应和补救
- 立即审查和撤销: 如果订阅未经授权,请采取适当措施取消它并根据需要调整 SNS 权限。
- 加强监控和告警: 配置监控系统以标记涉及敏感主题或未批准端点的类似操作。
- 策略审查: 检查和更新与 SNS 订阅和访问相关的策略,根据需要加强控制以防止未经授权的订阅。
- 事件响应: 如果有恶意意图的证据,则将事件视为潜在的数据泄露事件,并遵循事件响应协议,包括进一步调查、遏制和恢复。
其他信息
有关在 AWS 环境中管理和保护 SNS 主题的更多指南,请参阅 AWS SNS 文档 和 AWS 安全最佳实践。
规则查询
编辑event.dataset: "aws.cloudtrail"
and event.provider: "sns.amazonaws.com"
and event.action: "Subscribe"
and aws.cloudtrail.request_parameters: *protocol=email*
框架: MITRE ATT&CKTM
-
策略
- 名称: 渗透
- ID: TA0010
- 参考网址: https://attack.mitre.org/tactics/TA0010/
-
技术
- 名称: 通过 Web 服务渗透
- ID: T1567
- 参考网址: https://attack.mitre.org/techniques/T1567/