使用自定义端点 URL 的 AWS CLI 命令
编辑使用自定义端点 URL 的 AWS CLI 命令
编辑检测使用带有 --endpoint-url
参数的 AWS CLI,该参数允许用户为 AWS 服务指定自定义端点 URL。攻击者可以利用此功能将 API 请求重定向到非标准或恶意端点,从而可能绕过典型的安全控制和日志记录机制。此行为可能表明有人试图与未经授权或已受损的基础设施交互、窃取数据或在合法的 AWS 操作伪装下执行其他恶意活动。
规则类型:new_terms
规则索引:
- logs-endpoint.events.process-*
严重性:中
风险评分: 47
运行频率:5 分钟
搜索索引起始时间:now-9m(日期数学格式,另请参阅 额外回溯时间
)
每次执行的最大警报数: 100
参考资料:
标签:
- 数据源:Elastic Defend
- 域:端点
- 操作系统:Linux
- 用例:威胁检测
- 战术:命令和控制
版本: 1
规则作者:
- Elastic
规则许可证:Elastic License v2
规则查询
编辑host.os.type: "linux" and event.category: "process" and process.name: "aws" and process.args: "--endpoint-url"
框架:MITRE ATT&CKTM
-
战术
- 名称:命令和控制
- ID:TA0011
- 参考 URL: https://attack.mitre.org/tactics/TA0011/
-
技术
- 名称:Web 服务
- ID:T1102
- 参考 URL: https://attack.mitre.org/techniques/T1102/