罕见用户 AWS SNS 电子邮件订阅
编辑罕见用户 AWS SNS 电子邮件订阅
编辑识别 SNS 主题被通常不执行此操作的用户的电子邮件地址订阅的情况。攻击者可能会订阅 SNS 主题以收集敏感信息或通过外部电子邮件地址泄露数据。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 低
风险评分: 21
运行频率: 5 分钟
搜索索引的时间范围: now-9m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 域: 云
- 数据源: AWS
- 数据源: 亚马逊 Web 服务
- 数据源: AWS SNS
- 资源: 调查指南
- 用例: 威胁检测
- 战术: 数据渗漏
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查罕见用户 AWS SNS 电子邮件订阅
此规则用于识别 SNS 主题被通常不执行此操作的用户的电子邮件地址订阅的情况。虽然订阅 SNS 主题是一种常见的做法,但攻击者可能会利用此功能来收集敏感信息或通过外部电子邮件地址泄露数据。
可能的调查步骤
-
识别行为者:查看
aws.cloudtrail.user_identity.arn字段,以识别请求订阅的用户。验证此行为者是否通常执行此类操作并具有必要的权限。某些用户类型(例如,假设的角色或联合用户)发起此活动可能是不寻常的。 -
审查 SNS 订阅事件:分析 CloudTrail 日志中
Subscribe操作的具体信息 -
主题:查看
aws.cloudtrail.request_parameters.topicArn字段,以识别订阅中涉及的 SNS 主题。 -
协议和端点:查看
aws.cloudtrail.request_parameters.protocol和aws.cloudtrail.request_parameters.endpoint字段,以确认订阅的协议和电子邮件地址。确认此端点是否与已知或受信任的实体相关联。 -
订阅状态:检查
aws.cloudtrail.response_elements.subscriptionArn字段以获取订阅的当前状态,并注意它是否需要确认。 - 验证授权:评估用户是否通常参与 SNS 订阅操作,以及他们是否有权对指定主题执行此操作。
- 结合相关事件:查看事件发生前后同一用户或 IP 地址的其他 CloudTrail 日志。查找涉及其他 AWS 服务(如 S3 或 IAM)的活动,这些活动可能表明存在进一步的可疑行为。
- 评估订阅端点:确定电子邮件端点是否合法或与任何已知实体相关联。这可能需要检查内部文档或联系相关的 AWS 账户管理员。
-
检查发布操作:调查同一 SNS 主题上是否有后续的
Publish操作,这可能表明存在数据泄露尝试或数据泄漏。如果检测到发布操作,请进一步调查消息的内容。 - 审查 IAM 策略:检查用户或角色的 IAM 策略,以确保订阅操作在其权限范围内或应该在其权限范围内。
误报分析
- 历史用户操作:验证用户是否具有在 SNS 主题上执行类似操作的历史记录。一致的、重复的操作可能表明是合法使用。
- 计划或自动化任务:确认订阅操作是否与您的组织授权的计划任务或自动化通知一致。
响应和补救
- 立即审查和撤销:如果订阅未经授权,请采取适当的措施取消订阅并根据需要调整 SNS 权限。
- 加强监控和警报:配置监控系统,以标记涉及敏感主题或未经批准的端点的类似操作。
- 策略审查:审查和更新与 SNS 订阅和访问相关的策略,并根据需要加强控制以防止未经授权的订阅。
- 事件响应:如果存在恶意意图的证据,请将该事件视为潜在的数据泄露事件,并遵循事件响应协议,包括进一步调查、控制和恢复。
其他信息
有关在 AWS 环境中管理和保护 SNS 主题的更多指南,请参阅 AWS SNS 文档和 AWS 安全最佳实践。
规则查询
编辑event.dataset: "aws.cloudtrail"
and event.provider: "sns.amazonaws.com"
and event.action: "Subscribe"
and aws.cloudtrail.request_parameters: *protocol=email*
框架: MITRE ATT&CKTM
-
战术
- 名称:数据渗漏
- ID:TA0010
- 参考 URL:https://attack.mitre.org/tactics/TA0010/
-
技术
- 名称:通过 Web 服务渗漏
- ID:T1567
- 参考 URL:https://attack.mitre.org/techniques/T1567/