带有解密标志的 AWS Systems Manager SecureString 参数请求
编辑带有解密标志的 AWS Systems Manager SecureString 参数请求
编辑检测用户身份首次使用 GetParameter 或 GetParameters API 操作访问 AWS Systems Manager (SSM) SecureString 参数的情况,请求参数中包含凭据。这可能表明用户正在访问敏感信息。此规则检测用户在 withDecryption 参数设置为 true 时访问 SecureString 参数的情况。这是一个 [新术语] (https://elastic.ac.cn/guide/en/security/current/rules-ui-create.html#create-new-terms-rule) 规则,它检测过去 10 天内特定 AWS ARN 首次使用解密访问 SecureString 参数的情况。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-aws.cloudtrail*
严重性: 中等
风险评分: 47
每隔: 5 分钟运行
搜索索引自: now-9m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 领域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS Systems Manager
- 策略:凭据访问
- 资源:调查指南
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查带有解密标志的 AWS Systems Manager SecureString 参数请求
此规则检测 AWS 资源在解密标志设置为 true 的情况下访问 AWS Systems Manager (SSM) 中的 SecureString 参数的情况。SecureString 使用 KMS 密钥加密,使用解密访问这些参数可能表示试图访问敏感数据。
攻击者可能会以 SecureString 为目标,以检索敏感信息,例如加密密钥、密码和其他安全存储的凭据。使用启用解密的方式访问这些参数尤其令人担忧,因为它意味着攻击者试图绕过加密以获取可立即使用或泄露的明文值。此行为可能是旨在升级权限或在环境中横向移动以访问受保护的数据或关键基础设施的更大攻击策略的一部分。
可能的调查步骤
-
查看访问事件:识别触发规则的特定 API 调用(
GetParameter或GetParameters)。检查request_parameters中withDecryption是否设置为 true,以及被访问参数的名称。 -
验证用户身份和访问上下文:检查
user_identity详细信息以了解谁访问了参数以及他们在组织中的角色。这包括检查 ARN 和访问密钥 ID 以确定访问权限是否已授权。 - 与用户行为联系起来:评估访问模式是否符合用户的正常行为或工作职责。调查事件发生时间周围的任何异常活动。
-
分析地理位置和 IP 上下文:使用
source.ip和source.geo信息,验证请求是否来自受信任的位置,或者是否存在暗示帐户遭到入侵的任何异常情况。 - 检查相关的 CloudTrail 事件:查看 CloudTrail 中的其他相关事件,以查看在此事件之前或之后是否存在异常活动,例如异常登录尝试、权限更改或其他可能表明更广泛的未经授权操作的 API 调用。
误报分析
- 合法的管理使用:验证 SecureString 参数的解密是否是用户角色的常见做法,尤其是在使用自动化脚本或部署流程(例如涉及 Terraform 或类似工具的流程)时。
响应和补救
- 立即验证:联系负责 API 调用的用户或团队以验证其意图和授权。
- 查看和修改权限:如果访问未经授权,请查看分配给用户或角色的权限,以确保它们符合最小权限原则。
- 审核参数访问策略:确保管理对 SecureString 参数访问的策略严格,并启用审核日志以跟踪使用解密的访问。
- 事件响应:如果确认存在可疑活动,请按照组织的事件响应计划进行操作,以减轻任何潜在的安全问题。
- 增强监控和告警:加强监控规则以检测对 SecureString 参数的异常访问,尤其是涉及解密的访问。
附加信息
此规则仅关注 AWS Systems Manager (SSM) 参数中的 SecureString。SecureString 使用 AWS 密钥管理服务 (KMS) 密钥加密。当用户访问 SecureString 参数时,他们可以指定参数是否应该解密。如果用户指定应解密参数,则解密后的值将返回在响应中。
设置
编辑此规则要求将 AWS CloudTrail 日志导入 Elastic Stack。确保 AWS 集成已正确配置以收集 AWS CloudTrail 日志。此规则还需要 AWS Systems Manager (SSM) API 操作的事件日志记录,这可以在 CloudTrail 的数据事件设置中启用。
规则查询
编辑event.dataset: aws.cloudtrail
and event.provider: "ssm.amazonaws.com"
and event.action: (GetParameters or GetParameter)
and event.outcome: success
and aws.cloudtrail.request_parameters: *withDecryption=true*
框架: MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:来自密码存储的凭据
- ID:T1555
- 参考 URL:https://attack.mitre.org/techniques/T1555/
-
子技术
- 名称:云密钥管理存储
- ID:T1555.006
- 参考 URL:https://attack.mitre.org/techniques/T1555/006/