AWS CloudTrail 日志暂停
编辑AWS CloudTrail 日志暂停
编辑识别暂停指定跟踪的 AWS API 调用记录和日志文件传递。攻击者可能会暂停跟踪以试图规避防御措施。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重程度: 中
风险评分: 47
运行频率: 10分钟
搜索索引起始时间: now-60m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域: 云
- 数据源: AWS
- 数据源: 亚马逊网络服务
- 用例: 日志审计
- 资源: 调查指南
- 策略: 防御规避
版本: 209
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑初步调查和分析
调查 AWS CloudTrail 日志暂停
Amazon CloudTrail 是一项服务,可帮助您对 Amazon Web Services 账户进行治理、合规性、运营审计和风险审计。借助 CloudTrail,您可以记录、持续监控和保留与您的 Amazon Web Services 基础设施中的操作相关的帐户活动。CloudTrail 提供您的 Amazon Web Services 账户活动的事件历史记录,包括通过 Amazon Management Console、Amazon SDK、命令行工具和其他 Amazon Web Services 服务执行的操作。此事件历史记录简化了安全分析、资源更改跟踪和故障排除。
此规则使用 API StopLogging 操作来识别 AWS 日志跟踪的暂停。攻击者可以这样做来掩盖他们的踪迹,并影响依赖此来源的安全监控。
可能的调查步骤
- 识别执行操作的用户帐户以及该帐户是否应该执行此类操作。
- 调查过去 48 小时内与该用户帐户相关的其他警报。
- 联系帐户和资源所有者,并确认他们是否了解此活动。
- 检查此操作是否已获得批准并根据组织变更管理政策执行。
- 考虑发出命令的用户的源 IP 地址和地理位置
- 它们对用户来说看起来正常吗?
- 如果来源是 EC2 IP 地址,它是否与您的某个帐户中的 EC2 实例相关联,或者来源 IP 是否来自您无法控制的 EC2 实例?
- 如果是授权的 EC2 实例,则该活动是否与实例角色或角色的正常行为相关?是否有任何其他警报或迹象表明此实例存在可疑活动?
- 调查已删除的日志跟踪的严重程度以及负责的团队是否了解删除情况。
- 如果您怀疑帐户已被泄露,请通过跟踪最近 24 小时内该帐户访问的服务器、服务和数据来确定可能被泄露的资产范围。
误报分析
- 如果此规则由于预期活动而在您的环境中产生大量噪音,请考虑添加例外情况,最好是结合用户和 IP 地址条件。
响应和补救
- 根据初步调查的结果启动事件响应流程。
- 在调查和响应期间禁用或限制该帐户。
- 确定事件的可能影响并相应地确定优先级;以下操作可以帮助您获得上下文
- 确定云环境中的帐户角色。
- 评估受影响服务和服务器的关键程度。
- 与您的 IT 团队合作,确定并最大程度地减少对用户的影响。
- 确定攻击者是否正在横向移动并危害其他帐户、服务器或服务。
- 确定与此活动相关的任何监管或法律后果。
- 调查攻击者泄露或使用的系统中凭据的暴露情况,以确保识别所有被泄露的帐户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。与您的 IT 团队合作,以最大程度地减少这些操作期间对业务运营的影响。
- 检查是否创建了未经授权的新用户,删除未经授权的新帐户,并请求重置其他 IAM 用户的密码。
- 考虑为用户启用多因素身份验证。
- 查看分配给相关用户的权限,以确保遵循最小权限原则。
- 实施 AWS 概述的安全最佳实践。
- 采取必要的行动,使受影响的系统、数据或服务恢复到正常的运行级别。
- 识别攻击者滥用的初始向量,并采取行动以防止通过相同向量再次感染。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:aws.cloudtrail and event.provider:cloudtrail.amazonaws.com and event.action:StopLogging and event.outcome:success
框架: MITRE ATT&CKTM
-
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 损害防御
- ID: T1562
- 参考 URL: https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称: 禁用或修改工具
- ID: T1562.001
- 参考 URL: https://attack.mitre.org/techniques/T1562/001/