AWS 根用户在未启用 MFA 的情况下登录
编辑AWS 根用户在未启用 MFA 的情况下登录
编辑识别尝试在未启用多因素身份验证 (MFA) 的情况下以根用户身份登录 AWS 的行为。Amazon AWS 最佳实践指出,根用户应受 MFA 保护。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 高
风险评分: 73
运行频率: 10 分钟
搜索索引起始时间: now-60m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS Route53
- 用例:身份和访问审计
- 资源:调查指南
- 策略:权限提升
版本: 209
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑分类和分析
调查 AWS 根用户在未启用 MFA 的情况下登录
AWS 中的多因素身份验证 (MFA) 是一种简单的最佳实践,可在您的用户名和密码之上添加额外的保护层。启用 MFA 后,当用户登录 AWS 管理控制台时,系统会提示他们输入用户名和密码,以及来自其 AWS MFA 设备的身份验证码。这些多重因素结合在一起,可为您的 AWS 账户设置和资源提供更高的安全性。
有关在 AWS 中使用 MFA 的更多信息,请访问官方文档。
AWS 根帐户是拥有对该帐户中所有 AWS 服务和资源的完全访问权限的唯一身份,该帐户是在创建 AWS 帐户时创建的。AWS 强烈建议您不要将根用户用于日常任务,即使是管理任务也是如此。相反,请遵循最佳实践,仅使用根用户创建您的第一个 IAM 用户。然后安全地锁定根用户凭证,并仅使用它们执行一些帐户和服务管理任务。亚马逊提供了需要根用户的任务列表。
此规则会查找尝试在未启用多因素身份验证 (MFA) 的情况下以根用户身份登录 AWS 的行为,这意味着该帐户没有得到适当的保护。
可能的调查步骤
- 调查过去 48 小时内与该用户帐户关联的其他告警。
- 通过在您的日志中查找过去发生的情况,检查此活动在该环境中是否常见。
- 考虑发出命令的调用用户的源 IP 地址和地理位置。它们对于调用用户而言是否正常?
- 检查过去 24 小时内该帐户执行的命令、API 调用和数据管理操作。
- 联系帐户所有者并确认他们是否知道此活动。
- 如果您怀疑该帐户已被入侵,请通过跟踪过去 24 小时内该帐户访问的服务器、服务和数据来确定潜在的受入侵资产的范围。
误报分析
- 虽然此活动本身不是恶意的,但根帐户必须使用 MFA。安全团队应解决任何潜在的良性真阳性 (B-TP),因为此配置可能会使整个云环境面临风险。
响应和补救
- 根据分类结果启动事件响应流程。
- 确定事件的可能影响并相应地确定优先级;以下操作可以帮助您获取上下文
- 确定帐户在云环境中的角色。
- 确定所涉及服务或服务器的关键程度。
- 与您的 IT 团队合作,确定并尽量减少对用户的影响。
- 确定攻击者是否在横向移动并入侵其他帐户、服务器或服务。
- 确定是否存在与此活动相关的任何监管或法律影响。
- 为用户配置多因素身份验证。
- 遵循 AWS 概述的安全最佳实践。
- 使用事件响应数据,更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:aws.cloudtrail and event.provider:signin.amazonaws.com and event.action:ConsoleLogin and aws.cloudtrail.user_identity.type:Root and aws.cloudtrail.console_login.additional_eventdata.mfa_used:false and event.outcome:success
框架: MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考 URL:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考 URL:https://attack.mitre.org/techniques/T1078/