« 由罕见用户创建的 AWS SNS 电子邮件订阅 由罕见用户执行的 AWS SSM SendCommand »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和告警 预构建规则参考

由罕见用户创建的 AWS SSM 命令文档

编辑

由罕见用户创建的 AWS SSM 命令文档

编辑

识别当 AWS Systems Manager (SSM) 命令文档由不经常执行此操作的用户创建时的情况。攻击者可能会创建 SSM 命令文档以在托管实例上执行命令,这可能会导致未经授权的访问、命令和控制、数据泄露等。

规则类型: new_terms

规则索引:

  • filebeat-*
  • logs-aws.cloudtrail-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引起始时间: now-9m (日期数学格式, 另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 域:云
  • 数据源:AWS
  • 数据源:Amazon Web Services
  • 数据源:AWS SNS
  • 数据源:AWS Systems Manager
  • 资源:调查指南
  • 用例:威胁检测
  • 策略:执行

版本: 1

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查由罕见用户创建的 AWS SSM 命令文档

此规则识别当 AWS Systems Manager (SSM) 命令文档由不经常执行此操作的用户创建时的情况。创建 SSM 命令文档可能是一个合法的操作,但如果由不寻常或受损的用户执行,也可能表明恶意意图。攻击者可能会利用 SSM 文档在托管实例上执行命令,这可能会导致未经授权的访问、命令和控制或数据泄露。

可能的调查步骤

  • 识别行为者:查看 aws.cloudtrail.user_identity.arn 字段以识别谁创建了 SSM 文档。验证此用户是否通常创建此类文档并具有适当的权限。某些类型的用户(如承担的角色或联合用户)执行此操作可能是不正常的。
  • 分析文档详细信息:
  • 文档名称:检查 aws.cloudtrail.request_parameters.name 字段中的文档名称,以了解其预期用途。
  • 文档内容:如果可能,请查看 aws.cloudtrail.request_parameters.content 中是否存在任何敏感或意外的指令(例如,数据泄露或权限提升的操作)。如果日志中不可用,请考虑在 AWS 管理控制台中查看文档。
  • 使用相关事件关联活动:查找涉及同一用户 ARN 或 IP 地址 (source.address) 的其他 CloudTrail 事件。检查在其他 AWS 服务(如 IAM、EC2 或 S3)中执行的操作,以确定是否存在其他可疑行为。SendCommand API 调用可能表明尝试在托管实例上执行 SSM 文档。
  • 检查文档状态和元数据:
  • 文档状态:在 aws.cloudtrail.response_elements.documentDescription.status 中确认文档创建状态。状态为 Creating 可能表示该文档正在进行中。
  • 执行权限:查看文档是否在 aws.cloudtrail.response_elements.documentDescription 中指定了 platformTypesdocumentVersion,以了解哪些环境可能受到影响以及是否存在多个版本。

误报分析

  • 授权的管理操作:确定此文档创建是否与计划的管理任务或授权人员的操作一致。
  • 历史用户操作:将此操作与用户的历史活动进行比较,以确定他们是否具有创建类似文档的历史记录,这可能表明是合法使用。

响应和补救

  • 立即文档审查和删除:如果文档创建被认为是未经授权的,请立即删除该文档,并检查最近创建的其他类似文档。
  • 增强监控和告警:为 SSM 文档创建事件配置额外的监控,尤其是在与不受信任或罕见用户关联时。
  • 策略更新:考虑将 SSM 文档创建权限限制为特定的可信角色或用户,以防止未经授权的文档创建。
  • 事件响应:如果文档被确认为恶意活动的一部分,请将其视为安全事件。遵循事件响应协议,包括遏制、调查和补救。

其他信息

有关在您的环境中管理和保护 AWS Systems Manager 的更多指导,请参阅 AWS SSM 文档 和 AWS 安全最佳实践。

规则查询

编辑
event.dataset: "aws.cloudtrail"
    and event.provider: "ssm.amazonaws.com"
    and event.action: "CreateDocument"
    and event.outcome: "success"
    and aws.cloudtrail.response_elements: *documentType=Command*

框架: MITRE ATT&CKTM

« 由罕见用户创建的 AWS SNS 电子邮件订阅 由罕见用户执行的 AWS SSM SendCommand »