AWS EC2 完全网络数据包捕获检测

编辑

AWS EC2 完全网络数据包捕获检测

编辑

识别 Amazon Elastic Compute Cloud (EC2) 实例中潜在的流量镜像。流量镜像是一项 Amazon VPC 功能，可用于复制来自弹性网络接口的网络流量。此功能可能会被滥用，以从未加密的内部流量中泄露敏感数据。

规则类型: 查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 中

风险评分: 47

运行频率: 10 分钟

搜索索引起始时间: now-60m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

域: 云
数据源: AWS
数据源: 亚马逊网络服务
用例: 网络安全监控
战术: 外泄
战术: 收集

版本: 206

规则作者:

Elastic
Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 AWS Fleet 集成、Filebeat 模块或类似结构化数据才能与此规则兼容。

规则查询

编辑

event.dataset:aws.cloudtrail and event.provider:ec2.amazonaws.com and
event.action:(CreateTrafficMirrorFilter or CreateTrafficMirrorFilterRule or CreateTrafficMirrorSession or CreateTrafficMirrorTarget) and
event.outcome:success

框架: MITRE ATT&CK^TM

战术
- 名称: 外泄
- ID: TA0010
- 参考 URL: https://attack.mitre.org/tactics/TA0010/
技术
- 名称: 自动化外泄
- ID: T1020
- 参考 URL: https://attack.mitre.org/techniques/T1020/
战术
- 名称: 收集
- ID: TA0009
- 参考 URL: https://attack.mitre.org/tactics/TA0009/
技术
- 名称: 数据暂存
- ID: T1074
- 参考 URL: https://attack.mitre.org/techniques/T1074/

« AWS EC2 加密已禁用 AWS EC2 实例连接 SSH 公钥已上传 »