使用外部 CA 创建的 AWS IAM Roles Anywhere 信任锚点
编辑使用外部 CA 创建的 AWS IAM Roles Anywhere 信任锚点
编辑识别何时创建了使用外部证书颁发机构的 AWS IAM Roles Anywhere 信任锚点。AWS Roles Anywhere 配置文件是由管理员创建的合法配置文件,允许从任何位置进行访问。此规则检测何时创建了使用不由 AWS Certificate Manager Private Certificate Authority (ACM PCA) 管理的外部证书颁发机构的信任锚点。攻击者可能会利用此方法来在环境中维持持久性。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重程度: 中
风险评分: 47
运行频率: 10 分钟
搜索索引时间范围: now-30m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 域: 云
- 数据源: AWS
- 数据源: 亚马逊云服务
- 数据源: AWS IAM
- 用例: 身份和访问审计
- 策略: 持久性
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查使用外部 CA 创建的 AWS IAM Roles Anywhere 信任锚点
此规则检测何时创建了使用外部证书颁发机构的 AWS IAM Roles Anywhere 信任锚点。AWS Roles Anywhere 配置文件是由管理员创建的合法配置文件,允许从任何位置进行访问。此规则识别何时创建了使用不由 AWS Certificate Manager Private Certificate Authority (ACM PCA) 管理的外部证书颁发机构的信任锚点。攻击者可能会利用此方法来在环境中维持持久性。
可能的调查步骤
-
识别参与者: 查看
aws.cloudtrail.user_identity.arn和aws.cloudtrail.user_identity.access_key_id字段以识别是谁进行了更改。验证此参与者是否通常执行此类操作,以及他们是否具有必要的权限。 -
查看请求详细信息: 检查
aws.cloudtrail.request_parameters以了解信任锚点创建的具体细节。查找可能暗示未经授权或恶意修改的任何不寻常的参数。 -
分析请求的来源: 调查
source.ip和source.geo字段以确定请求的地理来源。外部或意外的位置可能表明凭据已泄露或访问未授权。 -
通过时间戳进行情境化: 使用
@timestamp字段来检查信任锚点的创建时间。在非工作时间或常规维护窗口之外进行的更改可能需要进一步审查。 - 与其他活动关联: 在此更改之前和之后搜索相关的 CloudTrail 事件,以查看同一参与者或 IP 地址是否参与了其他潜在的可疑活动。
- 验证证书颁发机构: 确保使用的外部证书颁发机构是授权和认可的。未经授权的外部 CA 可能是恶意活动的危险信号。
误报分析
- 合法的管理操作: 确认信任锚点创建是否与变更管理系统中记录的计划更新、开发活动或合法的管理任务相一致。
- 一致性检查: 将该操作与用户或组织内执行的类似操作的历史数据进行比较。如果该操作与过去合法的活动一致,则可能表明是误报。
-
通过结果进行验证: 检查
aws.cloudtrail.response_elements和event.outcome,以确认创建是否成功,并符合政策的预期。
响应和补救
- 立即审查并在必要时撤销: 如果创建是未经授权的,请删除信任锚点并撤销任何关联的权限。
- 加强监控和警报: 调整监控系统,以便在发生类似操作时发出警报,特别是涉及使用外部证书颁发机构创建信任锚点的操作。
- 教育和培训: 对具有管理权限的用户进行额外的培训,使其了解与 IAM Roles Anywhere 和证书颁发机构使用相关的安全最佳实践的重要性。
- 审计 IAM 角色和策略: 对所有 IAM 角色和相关策略进行全面审计,以确保它们符合最小权限原则。
- 事件响应: 如果有恶意意图或安全漏洞的迹象,请启动事件响应协议,以减轻任何损害并防止未来发生。
其他信息
有关管理 IAM Roles Anywhere 和保护 AWS 环境的更多指导,请参阅 AWS IAM Roles Anywhere 文档和 AWS 安全最佳实践。此外,请参考以下资源以获取有关 IAM 角色和信任锚点的具体详细信息:- AWS IAM Roles Anywhere 简介 - Ermetic 博客关于 IAM 用户和第三方
规则查询
编辑event.dataset: aws.cloudtrail
and event.provider: rolesanywhere.amazonaws.com
and event.action: CreateTrustAnchor
and event.outcome: success
and not aws.cloudtrail.request_parameters: *sourceType=AWS_ACM_PCA*
框架: MITRE ATT&CKTM
-
策略
- 名称: 持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称: 帐户操纵
- ID: T1098
- 参考 URL: https://attack.mitre.org/techniques/T1098/
-
子技术
- 名称: 其他云角色
- ID: T1098.003
- 参考 URL: https://attack.mitre.org/techniques/T1098/003/