« 使用外部 KMS 密钥的 AWS S3 对象加密 罕见用户订阅 AWS SNS 电子邮件 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

AWS S3 对象版本控制已暂停

编辑

AWS S3 对象版本控制已暂停

编辑

识别何时 Amazon S3 存储桶的对象版本控制被暂停。对象版本控制允许同一存储桶中存在对象的多个版本。这使得可以轻松恢复已删除或覆盖的对象。当存储桶的对象版本控制被暂停时,可能表明攻击者试图阻止恶意活动后的系统恢复。此外,当版本控制被暂停时,存储桶可以被删除。

规则类型: eql

规则索引:

  • filebeat-*
  • logs-aws.cloudtrail-*

严重性: 中

风险评分: 47

运行频率: 5m

搜索索引时间范围: now-6m (日期数学格式,另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 领域: 云
  • 数据源: AWS
  • 数据源: Amazon Web Services
  • 数据源: AWS S3
  • 用例: 威胁检测
  • 策略: 影响

版本: 2

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 AWS S3 对象版本控制已暂停

此规则检测何时 S3 存储桶的对象版本控制被暂停。具有访问权限的配置错误的 S3 存储桶的攻击者可能会在替换或删除 S3 对象之前禁用对象版本控制,从而阻止恢复措施。此规则使用 EQL 来查找使用 PutBucketVersioning 操作的情况,其中 request_parameters 包括 Status=Suspended

可能的调查步骤

  • 识别操作者: 查看 aws.cloudtrail.user_identity.arnaws.cloudtrail.user_identity.access_key_id 字段,以识别执行操作的人员。验证此操作者是否通常执行此类操作,以及他们是否具有必要的权限。
  • 分析请求来源: 调查 source.ipsource.geo 字段,以确定请求的地理来源。外部或意外位置可能表明凭据已泄露或存在未授权访问。
  • 与其他活动关联: 搜索此操作之前和之后的相关 CloudTrail 事件,以查看同一操作者或 IP 地址是否参与了其他潜在的可疑活动。
  • 检查对象删除或访问: 查找对同一 S3 存储桶的 DeleteObjectDeleteObjectsGetObject API 调用,这些调用可能表明攻击者正在访问和销毁对象,包括较旧的对象版本。
  • 询问相关人员: 如果复制事件是由用户发起的,请与负责管理 S3 存储桶的人员或团队验证此操作的意图和授权。

误报分析

  • 合法的管理操作: 确认此操作是否与变更管理系统中记录的合法管理任务一致。
  • 一致性检查: 将此操作与用户或组织内执行的类似活动的历史数据进行比较。如果此操作与过去合法的活动一致,则可能表示误报。

响应和补救

  • 立即审查: 如果此活动未经授权,请搜索已替换或删除的对象,并检查存储桶的访问日志中是否存在任何可疑活动。
  • 教育和培训: 对具有管理权限的用户进行额外培训,强调有关 S3 存储桶管理的安全最佳实践以及勒索软件的风险。
  • 审核 S3 存储桶策略和权限: 对所有 S3 存储桶策略和相关权限进行全面审核,以确保它们符合最小权限原则。
  • 事件响应: 如果有恶意意图或安全漏洞的迹象,请启动事件响应协议以减轻任何损害并防止未来发生。

附加信息

有关管理 S3 存储桶安全性和防范勒索软件的更多指导,请参阅 AWS S3 文档和 AWS 安全最佳实践。此外,请参阅以下资源,了解有关 S3 勒索软件保护的详细信息: - ERMETIC REPORT - 野外 AWS S3 勒索软件暴露 - S3 勒索软件第 1 部分: 攻击向量

规则查询

编辑
any where event.dataset == "aws.cloudtrail"
   and event.action == "PutBucketVersioning"
   and event.outcome == "success"
   and stringContains(aws.cloudtrail.request_parameters, "Status=Suspended")

框架: MITRE ATT&CKTM

« 使用外部 KMS 密钥的 AWS S3 对象加密 罕见用户订阅 AWS SNS 电子邮件 »