AWS 联合身份用户单因素控制台登录

编辑

AWS 联合身份用户单因素控制台登录

编辑

识别联合身份用户在未启用多因素身份验证 (MFA) 的情况下登录 AWS 管理控制台的情况。通常会向联合身份用户授予临时凭证以访问 AWS 服务。如果联合身份用户在未启用 MFA 的情况下登录 AWS 管理控制台,则可能表示存在安全风险,因为 MFA 为身份验证过程增加了一层额外的安全保护。这还可能表示滥用 STS 令牌来绕过 MFA 要求。

规则类型: esql

规则索引: 无

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: now-9m (日期数学格式,另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

  • 域: 云
  • 数据源: 亚马逊 Web 服务
  • 数据源: AWS
  • 数据源: AWS 登录
  • 用例: 威胁检测
  • 策略: 初始访问

版本: 2

规则作者:

  • Elastic

规则许可证: Elastic License v2

规则查询

编辑
from logs-aws.cloudtrail-* metadata _id, _version, _index
| where
    event.provider == "signin.amazonaws.com"
    and event.action == "GetSigninToken"
    and aws.cloudtrail.event_type == "AwsConsoleSignIn"
    and aws.cloudtrail.user_identity.type == "FederatedUser"
| dissect aws.cloudtrail.additional_eventdata "{%{?mobile_version_key}=%{mobile_version}, %{?mfa_used_key}=%{mfa_used}}"
| where mfa_used == "No"
| keep @timestamp, event.action, aws.cloudtrail.event_type, aws.cloudtrail.user_identity.type

框架: MITRE ATT&CKTM