New

The executive guide to generative AI

Read more

AWS KMS 客户管理密钥已禁用或计划删除

编辑

AWS KMS 客户管理密钥已禁用或计划删除

编辑

识别禁用或计划删除 AWS KMS 客户管理密钥 (CMK) 的尝试。删除 AWS KMS 密钥具有破坏性且可能很危险。它会删除密钥材料和与 KMS 密钥关联的所有元数据,且不可逆转。删除 KMS 密钥后,使用该 KMS 密钥加密的数据将无法再解密,这意味着数据将无法恢复。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-aws.cloudtrail-*

严重性: 中

风险评分: 47

运行频率: 10 分钟

搜索索引范围: now-60m (Date Math 格式,另请参阅 附加回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 领域:云
  • 数据源:AWS
  • 数据源:Amazon Web Services
  • 数据源:AWS KMS
  • 用例:日志审计
  • 策略:影响

版本: 106

规则作者:

  • Xavier Pich

规则许可: Elastic License v2

调查指南

编辑

设置

编辑

需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑
event.dataset:aws.cloudtrail and event.provider:kms.amazonaws.com and event.action:("DisableKey" or "ScheduleKeyDeletion") and event.outcome:success

框架: MITRE ATT&CKTM

Was this helpful?
Feedback