« 用户承担 AWS STS 角色 AWS 服务配额多区域 GetServiceQuota 请求 »
Elastic 文档 Elastic Security 解决方案 [8.17] 检测和告警 预构建规则参考

AWS STS 角色链

编辑

AWS STS 角色链

编辑

识别角色链活动。角色链是指您通过 AWS CLI 或 API 使用一个承担的角色来承担第二个角色。虽然这是 AWS 中公认的功能,但如果后续承担的角色提供额外的权限,则角色链可能会被滥用以进行权限提升。角色链也可以用作持久化机制,因为每个 AssumeRole 操作都会生成一个刷新后的会话令牌,最长持续时间为 1 小时。此规则查找在单个账户内发生的角色链活动,以消除常见跨账户行为产生的误报。

规则类型: esql

规则索引: 无

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: now-6m (日期数学格式,另请参阅 额外的回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 域:云
  • 数据源:AWS
  • 数据源:Amazon Web Services
  • 数据源:AWS STS
  • 用例:威胁检测
  • 战术:持久化
  • 战术:权限提升
  • 战术:横向移动

版本: 1

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 AWS Fleet 集成、Filebeat 模块或类似结构化数据才能与此规则兼容。

规则查询

编辑
from logs-aws.cloudtrail-* metadata _id, _version, _index

// filter for AssumeRole API calls where access key id is a short term token beginning with ASIA
| where event.dataset == "aws.cloudtrail" and event.provider == "sts.amazonaws.com" and event.action == "AssumeRole" and aws.cloudtrail.resources.account_id == aws.cloudtrail.recipient_account_id and aws.cloudtrail.user_identity.access_key_id like "ASIA*"

// keep only the relevant fields
| keep aws.cloudtrail.user_identity.arn, cloud.region, aws.cloudtrail.resources.account_id, aws.cloudtrail.recipient_account_id, aws.cloudtrail.user_identity.access_key_id

框架: MITRE ATT&CKTM

« 用户承担 AWS STS 角色 AWS 服务配额多区域 GetServiceQuota 请求 »