使用自定义端点 URL 的 AWS CLI 命令

编辑

检测使用带有 --endpoint-url 参数的 AWS CLI,该参数允许用户为 AWS 服务指定自定义端点 URL。攻击者可以利用此功能将 API 请求重定向到非标准或恶意端点,从而可能绕过典型的安全控制和日志记录机制。此行为可能表明有人试图与未经授权或已受损的基础设施交互、窃取数据或在合法的 AWS 操作伪装下执行其他恶意活动。

规则类型:new_terms

规则索引:

  • logs-endpoint.events.process-*

严重性:中

风险评分: 47

运行频率:5 分钟

搜索索引起始时间:now-9m(日期数学格式,另请参阅 额外回溯时间

每次执行的最大警报数: 100

参考资料:

标签:

  • 数据源:Elastic Defend
  • 域:端点
  • 操作系统:Linux
  • 用例:威胁检测
  • 战术:命令和控制

版本: 1

规则作者:

  • Elastic

规则许可证:Elastic License v2

规则查询

编辑
host.os.type: "linux" and event.category: "process" and process.name: "aws" and process.args:  "--endpoint-url"

框架:MITRE ATT&CKTM