AWS STS GetSessionToken 滥用

编辑

AWS STS GetSessionToken 滥用

编辑

识别 GetSessionToken 的可疑使用。攻击者可能会创建和使用令牌进行横向移动和权限提升。

规则类型: 查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引自: 无 (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html

标签:

领域：云
数据来源：AWS
数据来源：Amazon Web Services
数据来源：AWS STS
用例：身份和访问审计
策略：权限提升

版本: 206

规则作者:

Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。

规则查询

编辑

event.dataset:aws.cloudtrail and event.provider:sts.amazonaws.com and event.action:GetSessionToken and
aws.cloudtrail.user_identity.type:IAMUser and event.outcome:success

框架: MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考网址：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：滥用提升控制机制
- ID：T1548
- 参考网址：https://attack.mitre.org/techniques/T1548/
策略
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：使用替代身份验证材料
- ID：T1550
- 参考网址：https://attack.mitre.org/techniques/T1550/
子技术
- 名称：应用程序访问令牌
- ID：T1550.001
- 参考网址：https://attack.mitre.org/techniques/T1550/001/

« AWS STS GetCallerIdentity API 首次调用 AWS STS 服务角色承担 »