› › ›

AWS STS 角色承担（用户）

识别用户或角色何时在 AWS 安全令牌服务 (STS) 中承担角色。用户可以承担角色以获取临时凭证并访问 AWS 资源。攻击者可以使用此技术进行凭证访问和权限提升。这是一个 [新术语](https://elastic.ac.cn/guide/en/security/current/rules-ui-create.html#create-new-terms-rule) 规则，用于识别服务何时在 AWS 安全令牌服务 (STS) 中承担角色以获取临时凭证并访问 AWS 资源。虽然通常是合法的，但攻击者可能会利用此技术进行未授权访问、权限提升或在 AWS 环境中进行横向移动。

规则类型: new_terms

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引自: 无 (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

标签:

领域：云
数据源：AWS
数据源：Amazon Web Services
数据源：AWS STS
资源：调查指南
用例：身份和访问审核
策略：权限提升

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 AWS STS 角色承担（用户）

此规则检测用户何时在 AWS 安全令牌服务 (STS) 中承担角色，接收临时凭证以访问 AWS 资源。虽然通常用于合法目的，但攻击者可以利用此操作获得未授权访问、提升权限或在 AWS 环境中进行横向移动。

可能的调查步骤

识别用户和承担的角色:
用户身份: 检查 aws.cloudtrail.user_identity.arn 和 aws.cloudtrail.user_identity.type 以了解 AssumeRole 操作发起者的详细信息。
承担的角色: 查看 aws.cloudtrail.flattened.request_parameters.roleArn 以确认承担的角色，并确保它与用户的标准权限一致。
会话名称: 注意 aws.cloudtrail.flattened.request_parameters.roleSessionName 以了解会话的目的。
评估会话上下文和凭证期限:
会话详细信息: 查看 aws.cloudtrail.user_identity.session_context.creation_date 以了解会话的开始时间，并查看 aws.cloudtrail.user_identity.session_context.mfa_authenticated 以检查是否使用了 MFA。
凭证有效性: 检查 aws.cloudtrail.flattened.request_parameters.durationSeconds 以了解凭证的有效期。
过期时间: 使用 aws.cloudtrail.flattened.response_elements.credentials.expiration 确认凭证的过期时间。
检查用户代理和源信息:
用户代理: 分析 user_agent.original 字段以识别是否使用了特定的工具或 SDK，例如 AWS CLI、Boto3 或自定义代理。
源 IP 和地理位置: 检查 source.address 和 source.geo 字段以确定请求的来源，确认它是否与预期位置一致。
与相关事件关联:
识别模式: 查看相关的 CloudTrail 事件，查找异常的访问模式，例如在此 AssumeRole 操作之后进行资源访问或敏感操作。
过滤高流量角色: 如果此角色或用户具有大量访问权限，请评估 roleArn 或 user_agent 值是否存在常见模式，并将受信任的实体添加为例外。
查看承担角色的权限:
权限: 检查与 roleArn 关联的权限，以评估其访问范围。
授权使用: 确认该角色是否经常用于管理目的，以及这是否与用户的日常职责相符。

误报分析

自动化流程和应用程序: 应用程序或计划任务可能会定期承担角色以用于操作目的。验证 user_agent 或 roleArn 与已知的自动化工作流程的一致性。
标准 IAM 策略使用: 通过查看历史活动，确认用户或应用程序是否经常承担此特定角色以进行正常操作。

响应和补救

终止未授权会话: 如果角色承担被认为未经授权，请通过修改 IAM 策略或与承担的角色相关的权限来撤销会话。
加强监控和告警: 为特定高风险角色（尤其是具有提升权限的角色）实施额外的监控。
定期管理例外: 定期查看高流量角色和用户代理模式，以改进告警，通过将受信任的模式添加为例外来减少噪声。
事件响应: 如果确认是恶意的，请遵循事件响应协议进行遏制、调查和补救。

附加信息

有关在您的环境中管理和保护 AWS STS 的更多详细信息，请参阅 AWS STS 文档。

规则查询

编辑

event.dataset: "aws.cloudtrail"
    and event.provider: "sts.amazonaws.com"
    and event.action: "AssumeRole"
    and event.outcome: "success"
    and aws.cloudtrail.user_identity.type: ("AssumedRole" or "IAMUser")

框架: MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考网址：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：滥用提升控制机制
- ID：T1548
- 参考网址：https://attack.mitre.org/techniques/T1548/
策略
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：使用替代身份验证材料
- ID：T1550
- 参考网址：https://attack.mitre.org/techniques/T1550/
子技术
- 名称：应用程序访问令牌
- ID：T1550.001
- 参考网址：https://attack.mitre.org/techniques/T1550/001/

« AWS STS 角色承担（服务） AWS STS 角色链 »