SSM 会话已启动至 EC2 实例
编辑SSM 会话已启动至 EC2 实例
编辑识别 AWS 资源通过 SSM 建立与 EC2 实例会话的首次出现。攻击者可能会使用 AWS Systems Manager 建立与 EC2 实例的会话,以在实例上执行命令。这可以用来访问实例并执行特权提升等操作。此规则有助于检测给定 AWS 资源此活动的首次出现。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 中等
风险评分: 47
每: 10 分钟运行一次
搜索索引自: now-60m (日期数学格式,另请参见 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 领域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS SSM
- 用例:威胁检测
- 策略:横向移动
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 SSM 会话已启动至 EC2 实例
此规则检测 AWS 资源首次启动到 EC2 实例的 SSM 会话,这可能表示合法的管理活动或潜在的恶意行为,例如命令执行或横向移动。
可能的调查步骤
- 检查会话启动事件:查看 AWS CloudTrail 日志中的事件。
- 查找
StartSession操作并验证详细信息,例如user_identity.arn、event.action和目标 EC2 实例(aws.cloudtrail.flattened.request_parameters)。 -
验证用户身份和角色:检查用户的 ARN 和访问密钥 ID(
aws.cloudtrail.user_identity.access_key_id)。 - 与 IAM 交叉引用以验证用户是否具有必要的权限,以及他们的角色是否通常需要启动 SSM 会话。
-
评估地理位置和 IP 上下文:分析会话启动的源 IP(
source.ip)和地理位置(source.geo)。 - 确定这些是否与典型用户位置一致,或者它们是否会引发对泄露或误用的怀疑。
-
查看会话详细信息:检查会话 ID 和流 URL(
aws.cloudtrail.flattened.response_elements)等详细信息,以了解会话的范围和性质。 - 检查会话期间执行的任何命令是否未经授权或超出正常做法。
- 与其他安全事件关联:查找会话启动时间周围的其他相关安全事件,以识别可能涉及此用户或 EC2 实例的任何模式或更广泛的攻击载体。
误报分析
- 合法的管理活动:确认是否出于有效的管理目的(例如系统维护、修补或配置更新)启动了 SSM 会话。与相关团队或人员核实。
响应和补救
- 立即审查会话:如果会话启动看起来可疑,请查看会话期间执行的所有操作。
- 如果可能,终止会话以防止任何潜在损害。
- 验证和加强安全策略:确保有关 SSM 会话启动的策略严格并遵守最小权限原则。
- 如有必要,更新 IAM 策略以加强控制。
- 启动事件响应:如果确认存在恶意意图或行为,则启动事件响应协议。
- 这包括威胁的遏制、消除对手的存在、受影响系统的恢复和彻底调查。
- 增强监控和告警:改进对 SSM 会话的监控,尤其关注涉及敏感或关键 EC2 实例的会话。
- 调整告警机制,以便立即标记异常会话启动。
附加信息
要更深入地了解管理 SSM 会话和安全最佳实践,请参阅AWS Systems Manager 文档。此外,请考虑AWS SSM 特权提升技术中概述的安全隐患和最佳实践。
规则查询
编辑event.dataset:"aws.cloudtrail" and event.provider:"ssm.amazonaws.com"
and event.action:"StartSession" and event.outcome:"success"
框架: MITRE ATT&CKTM
-
策略
- 名称:横向移动
- ID:TA0008
- 参考 URL:https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:远程服务
- ID:T1021
- 参考 URL:https://attack.mitre.org/techniques/T1021/
-
子技术
- 名称:云服务
- ID:T1021.007
- 参考 URL:https://attack.mitre.org/techniques/T1021/007/