AWS IAM Roles Anywhere 配置文件创建
编辑AWS IAM Roles Anywhere 配置文件创建
编辑识别 AWS Roles Anywhere 配置文件的创建。AWS Roles Anywhere 是一项功能,允许您使用 AWS Identity and Access Management (IAM) 配置文件,通过可信锚从任何位置管理对您的 AWS 资源的访问。此规则检测可以从任何服务承担的配置文件的创建。攻击者可能会创建与过度宽松的角色关联的配置文件,以维持对 AWS 资源的访问。请确保配置文件创建是预期内的,并且信任策略已安全配置。
规则类型:查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性:低
风险评分: 21
运行频率:10分钟
搜索索引起始时间:now-30m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
- https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html
- https://docs.datadoghq.com/security/default_rules/cloudtrail-aws-iam-roles-anywhere-trust-anchor-created/
- https://ermetic.com/blog/aws/keep-your-iam-users-close-keep-your-third-parties-even-closer-part-1/
- https://docs.aws.amazon.com/rolesanywhere/latest/APIReference/API_CreateProfile.html
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS IAM
- 用例:身份和访问审计
- 策略:持久化
版本: 2
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南
编辑分类和分析
调查 AWS IAM Roles Anywhere 配置文件创建
此规则检测 AWS Roles Anywhere 配置文件的创建。AWS Roles Anywhere 允许您使用 AWS Identity and Access Management (IAM) 配置文件,通过可信锚从任何位置管理对您的 AWS 资源的访问。攻击者可能会创建与过度宽松的角色关联的配置文件,以维持对 AWS 资源的访问。至关重要的是,要确保配置文件创建是预期内的,并且信任策略已安全配置。
可能的调查步骤
-
识别行为者:查看
aws.cloudtrail.user_identity.arn和aws.cloudtrail.user_identity.access_key_id字段,以识别谁创建了配置文件。验证此行为者是否通常执行此类操作,以及他们是否具有必要的权限。 -
查看请求详细信息:检查
aws.cloudtrail.request_parameters,以了解配置文件创建的具体详细信息。查找任何不寻常的参数或过度宽松的角色,这些可能表明未经授权或恶意活动。 -
分析请求的来源:调查
source.ip和source.geo字段,以确定请求的位置和来源。确保请求来自已知且可信的位置。 -
检查已创建配置文件的权限:查看与已创建配置文件关联的
roleArns。验证角色是否适合用户的预期操作,并且没有授予过多的权限。 -
验证配置文件的配置:确保配置文件的
durationSeconds、enabled和tags按照您组织的安全策略进行配置。特别注意任何可能允许长时间访问或隐藏活动的配置。
误报分析
- 合法的管理操作:确认配置文件创建是否与变更管理系统中记录的计划更新、开发活动或合法的管理任务一致。
- 一致性检查:将该操作与用户或组织中执行的类似操作的历史数据进行比较。如果该操作与过去合法的活动一致,则可能表明是误报。
-
通过结果验证:检查
aws.cloudtrail.response_elements和event.outcome,以确认配置文件创建是否成功,并且符合策略的预期。
响应和补救
- 立即审查并在必要时撤销:如果配置文件创建未经授权,请禁用或删除已创建的配置文件,并检查相关角色和权限是否存在任何潜在的滥用行为。
- 增强监控和警报:调整监控系统,以便在发生类似操作时发出警报,尤其是在涉及敏感角色或意外位置时。
- 教育和培训:向具有管理权限的用户提供关于配置文件和角色管理安全最佳实践重要性的额外培训,以及未经授权创建配置文件的风险。
- 审计 IAM 策略和权限:对所有 IAM 策略和相关权限进行全面审计,以确保它们符合最小权限原则。
- 事件响应:如果出现恶意意图或安全漏洞的迹象,请启动事件响应协议,以减轻任何损害并防止未来再次发生。
附加信息
有关管理 AWS IAM Roles Anywhere 配置文件和保护 AWS 环境的进一步指导,请参阅 AWS Roles Anywhere 文档 和 AWS 安全最佳实践。此外,请查阅以下资源,了解有关配置文件管理和潜在滥用的具体细节:- AWS IAM Roles Anywhere 配置文件创建 API 参考 - Ermetic 博客 - 管理第三方访问
规则查询
编辑event.dataset:aws.cloudtrail
and event.provider: rolesanywhere.amazonaws.com
and event.action: CreateProfile
and event.outcome: success
框架:MITRE ATT&CKTM
-
策略
- 名称:持久化
- ID:TA0003
- 参考 URL:https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称:账户操纵
- ID:T1098
- 参考 URL:https://attack.mitre.org/techniques/T1098/
-
子技术
- 名称:其他云角色
- ID:T1098.003
- 参考 URL:https://attack.mitre.org/techniques/T1098/003/