AWS S3 存储桶服务器访问日志已禁用
编辑AWS S3 存储桶服务器访问日志已禁用
编辑识别何时 Amazon S3 存储桶的服务器访问日志被禁用。服务器访问日志提供了对 S3 存储桶的请求的详细记录。当存储桶的服务器访问日志被禁用时,可能表明攻击者试图通过禁用包含恶意活动证据的日志来损害防御。
规则类型: eql
规则索引:
- filebeat-*
- logs-aws.cloudtrail*
严重性: 中
风险评分: 47
运行频率: 5m
搜索索引起始时间: now-6m (日期数学格式, 另见 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域: 云
- 数据源: AWS
- 数据源: Amazon Web Services
- 数据源: Amazon S3
- 用例: 资产可见性
- 策略: 防御规避
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 AWS S3 存储桶服务器访问日志已禁用
此规则检测何时 AWS 中 S3 存储桶的服务器访问日志被禁用。此类配置可能会通过阻止记录这些请求来隐藏未经授权访问或恶意活动的证据。
详细调查步骤
-
审查受影响的 S3 存储桶: 检查服务器访问日志已禁用的存储桶详细信息 (
bucketName)。 - 确定此存储桶中存储的数据的内容和重要性,以评估禁用日志的影响。
- 审查用户身份和活动:
- 调查进行更改的用户 (
user_identity.arn)。确定此用户的角色是否通常涉及管理 S3 存储桶配置。 - 检查身份验证方法以及所使用的访问密钥 (
access_key_id) 是否经常用于此类配置,或者是否偏离了正常使用模式。 - 联系账户所有者并确认他们是否知悉此活动。
- 考虑发出命令的用户的源 IP 地址和地理位置
- 对于调用用户来说,它们看起来是否正常?
- 如果源是 EC2 IP 地址,它是否与您的某个账户中的 EC2 实例相关联,或者源 IP 是否来自不受您控制的 EC2 实例?
- 如果是授权的 EC2 实例,该活动是否与实例角色或角色的正常行为相关联?是否存在涉及此实例的任何其他警报或可疑活动迹象?
- 结合最近的更改进行分析: 将此事件与 S3 配置中的最近更改进行比较。查找任何其他最近的权限更改或不寻常的管理操作。
- 与其他活动关联: 在此更改前后搜索相关的 CloudTrail 事件,以查看同一行为者或 IP 地址是否参与了其他潜在的可疑活动。
- 通过查找涉及其他用户的类似事件来评估此行为是否在环境中普遍存在。
误报分析
- 验证可能需要禁用访问日志的操作要求,尤其是在出于合规性和节省成本的原因而严格管理数据保留策略的环境中。
响应和补救
- 立即审查: 如果更改未经授权,请考虑立即恢复更改以防止潜在的数据丢失。
- 增强监控: 实施监控以在 S3 环境中对日志配置的更改发出警报。
- 用户教育: 确保有权访问 S3 存储桶等关键资源的用户了解有关数据保留和安全的最佳实践和公司政策。
附加信息
有关监控 Amazon S3 并确保符合组织数据保留和安全策略的更多指导,请参阅有关 监控 Amazon S3 的 AWS 官方文档。
规则查询
编辑any where event.dataset == "aws.cloudtrail" and event.action == "PutBucketLogging" and event.outcome == "success" and not stringContains(aws.cloudtrail.request_parameters, "LoggingEnabled")
框架: MITRE ATT&CKTM
-
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 损害防御
- ID: T1562
- 参考 URL: https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称: 禁用或修改云日志
- ID: T1562.008
- 参考 URL: https://attack.mitre.org/techniques/T1562/008/