AWS 联合身份用户单因素控制台登录
编辑AWS 联合身份用户单因素控制台登录
编辑识别联合身份用户在未启用多因素身份验证 (MFA) 的情况下登录 AWS 管理控制台的情况。通常会向联合身份用户授予临时凭证以访问 AWS 服务。如果联合身份用户在未启用 MFA 的情况下登录 AWS 管理控制台,则可能表示存在安全风险,因为 MFA 为身份验证过程增加了一层额外的安全保护。这还可能表示滥用 STS 令牌来绕过 MFA 要求。
规则类型: esql
规则索引: 无
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引起始时间: now-9m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 域: 云
- 数据源: 亚马逊 Web 服务
- 数据源: AWS
- 数据源: AWS 登录
- 用例: 威胁检测
- 策略: 初始访问
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询
编辑from logs-aws.cloudtrail-* metadata _id, _version, _index
| where
event.provider == "signin.amazonaws.com"
and event.action == "GetSigninToken"
and aws.cloudtrail.event_type == "AwsConsoleSignIn"
and aws.cloudtrail.user_identity.type == "FederatedUser"
| dissect aws.cloudtrail.additional_eventdata "{%{?mobile_version_key}=%{mobile_version}, %{?mfa_used_key}=%{mfa_used}}"
| where mfa_used == "No"
| keep @timestamp, event.action, aws.cloudtrail.event_type, aws.cloudtrail.user_identity.type
框架: MITRE ATT&CKTM
-
策略
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称: 有效账户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称: 云账户
- ID: T1078.004
- 参考 URL: https://attack.mitre.org/techniques/T1078/004/