AWS STS 角色链

识别角色链活动。角色链是指使用一个已承担的角色通过 AWS CLI 或 API 承担第二个角色。虽然这是 AWS 中公认的功能，但如果后续承担的角色提供额外的权限，则角色链可能会被滥用于权限提升。角色链也可以用作持久性机制，因为每个 AssumeRole 操作都会产生一个刷新后的会话令牌，最长持续时间为 1 小时。此规则查找单个账户中发生的链式角色活动，以消除由常见的跨账户行为产生的误报。

规则类型: esql

规则索引: 无

严重性: 中等

风险评分: 47

每隔: 5 分钟运行

搜索索引自: now-6m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

领域：云
数据来源：AWS
数据来源：亚马逊网络服务
数据来源：AWS STS
用例：威胁检测
策略：持久性
策略：权限提升
策略：横向移动

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 AWS 集群集成、Filebeat 模块或类似结构的数据才能与该规则兼容。

规则查询

编辑

from logs-aws.cloudtrail-* metadata _id, _version, _index

// filter for AssumeRole API calls where access key id is a short term token beginning with ASIA
| where event.dataset == "aws.cloudtrail" and event.provider == "sts.amazonaws.com" and event.action == "AssumeRole" and aws.cloudtrail.resources.account_id == aws.cloudtrail.recipient_account_id and aws.cloudtrail.user_identity.access_key_id like "ASIA*"

// keep only the relevant fields
| keep aws.cloudtrail.user_identity.arn, cloud.region, aws.cloudtrail.resources.account_id, aws.cloudtrail.recipient_account_id, aws.cloudtrail.user_identity.access_key_id

框架: MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考网址：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：滥用提升控制机制
- ID：T1548
- 参考网址：https://attack.mitre.org/techniques/T1548/
策略
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：使用备用身份验证材料
- ID：T1550
- 参考网址：https://attack.mitre.org/techniques/T1550/
子技术
- 名称：应用程序访问令牌
- ID：T1550.001
- 参考网址：https://attack.mitre.org/techniques/T1550/001/
策略
- 名称：持久性
- ID：TA0003
- 参考网址：https://attack.mitre.org/tactics/TA0003/

« 用户的 AWS STS 角色承担 AWS 服务配额多区域 GetServiceQuota 请求 »