« 由异常用户创建的 AWS SNS 电子邮件订阅 由异常用户执行的 AWS SSM SendCommand »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

由异常用户创建的 AWS SSM 命令文档

编辑

由异常用户创建的 AWS SSM 命令文档

编辑

识别由通常不执行此操作的用户创建的 AWS Systems Manager (SSM) 命令文档的情况。攻击者可能会创建 SSM 命令文档以在托管实例上执行命令,这可能导致未经授权的访问、命令和控制、数据泄露等。

规则类型: new_terms

规则索引:

  • filebeat-*
  • logs-aws.cloudtrail-*

严重程度: 低

风险评分: 21

每隔: 5 分钟

搜索索引时间范围: now-9m (日期数学格式,另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 领域:云
  • 数据源:AWS
  • 数据源:Amazon Web Services
  • 数据源:AWS SNS
  • 数据源:AWS Systems Manager
  • 资源:调查指南
  • 用例:威胁检测
  • 战术:执行

版本: 1

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查由异常用户创建的 AWS SSM 命令文档

此规则识别由通常不执行此操作的用户创建的 AWS Systems Manager (SSM) 命令文档的情况。创建 SSM 命令文档可能是一种合法操作,但如果由异常或被入侵的用户执行,也可能表明存在恶意意图。攻击者可能会利用 SSM 文档在托管实例上执行命令,这可能导致未经授权的访问、命令和控制或数据泄露。

可能的调查步骤

  • 识别行为者: 查看 aws.cloudtrail.user_identity.arn 字段以识别谁创建了 SSM 文档。验证此用户是否通常创建此类文档并具有相应的权限。对于某些类型的用户(例如假定的角色或联合用户)执行此操作可能是意外的。
  • 分析文档详细信息:
  • 文档名称: 检查 aws.cloudtrail.request_parameters.name 字段以了解文档名称的预期用途。
  • 文档内容: 如有可能,请查看 aws.cloudtrail.request_parameters.content 中是否存在任何敏感或意外的指令(例如,数据泄露或权限提升的操作)。如果日志中不可用,请考虑在 AWS 管理控制台中查看文档。
  • 将活动与相关事件联系起来: 查找涉及相同用户 ARN 或 IP 地址 (source.address) 的其他 CloudTrail 事件。检查在其他 AWS 服务(例如 IAM、EC2 或 S3)中执行的操作,以识别是否存在其他可疑行为。 SendCommand API 调用可能表明试图在托管实例上执行 SSM 文档。
  • 检查文档状态和元数据:
  • 文档状态: 在 aws.cloudtrail.response_elements.documentDescription.status 中确认文档创建状态。状态为 Creating 可能表示文档正在创建中。
  • 执行权限: 查看文档是否在 aws.cloudtrail.response_elements.documentDescription 中指定了 platformTypesdocumentVersion,以了解哪些环境可能会受到影响以及是否存在多个版本。

误报分析

  • 授权的管理操作: 确定此文档创建是否与授权人员的计划管理任务或操作相符。
  • 用户历史操作: 将此操作与用户的历史活动进行比较,以确定他们是否有创建类似文档的历史记录,这可能表明合法使用。

响应和补救措施

  • 立即审查和删除文档: 如果文档创建被认为未经授权,请立即删除文档并检查最近创建的其他类似文档。
  • 增强监控和告警: 为 SSM 文档创建事件配置其他监控,尤其是在与不受信任或异常用户相关联时。
  • 策略更新: 考虑将 SSM 文档创建权限限制为特定的、受信任的角色或用户,以防止未经授权的文档创建。
  • 事件响应: 如果确认文档是恶意活动的一部分,请将其视为安全事件。遵循事件响应协议,包括遏制、调查和补救。

其他信息

有关在您的环境中管理和保护 AWS Systems Manager 的更多指南,请参阅 AWS SSM 文档 和 AWS 安全最佳实践。

规则查询

编辑
event.dataset: "aws.cloudtrail"
    and event.provider: "ssm.amazonaws.com"
    and event.action: "CreateDocument"
    and event.outcome: "success"
    and aws.cloudtrail.response_elements: *documentType=Command*

框架: MITRE ATT&CKTM

« 由异常用户创建的 AWS SNS 电子邮件订阅 由异常用户执行的 AWS SSM SendCommand »