AWS Systems Manager SecureString 参数请求与解密标志
编辑AWS Systems Manager SecureString 参数请求与解密标志
编辑检测用户身份首次使用请求参数中的凭据,通过 GetParameter 或 GetParameters API 操作访问 AWS Systems Manager (SSM) SecureString 参数的情况。这可能表明用户正在访问敏感信息。此规则检测用户访问 withDecryption 参数设置为 true 的 SecureString 参数的情况。这是一个 [NewTerms](https://elastic.ac.cn/guide/en/security/current/rules-ui-create.html#create-new-terms-rule) 规则,检测在过去 10 天内,特定的 AWS ARN 首次访问带有解密的 SecureString 参数的情况。
规则类型:new_terms
规则索引:
- filebeat-*
- logs-aws.cloudtrail*
严重程度:中等
风险评分: 47
运行频率:5 分钟
搜索索引起始时间:now-9m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS Systems Manager
- 策略:凭证访问
- 资源:调查指南
版本: 2
规则作者:
- Elastic
规则许可:Elastic License v2
调查指南
编辑分类和分析
调查 AWS Systems Manager SecureString 参数请求与解密标志
此规则检测 AWS 资源在 AWS Systems Manager (SSM) 中访问解密标志设置为 true 的 SecureString 参数的情况。SecureString 使用 KMS 密钥进行加密,使用解密访问这些参数可能表示尝试访问敏感数据。
攻击者可能会以 SecureString 为目标,以检索敏感信息,例如加密密钥、密码和其他安全存储的凭据。启用解密访问这些参数尤其令人担忧,因为它意味着攻击者试图绕过加密以获取可以立即使用或泄露的明文值。此行为可能是旨在提升权限或在环境中横向移动以访问受保护数据或关键基础设施的更大攻击策略的一部分。
可能的调查步骤
-
查看访问事件:确定触发规则的特定 API 调用(
GetParameter或GetParameters)。检查request_parameters中withDecryption是否设置为 true 以及访问的参数名称。 -
验证用户身份和访问上下文:检查
user_identity详细信息,以了解谁访问了参数以及他们在组织中的角色。这包括检查 ARN 和访问密钥 ID,以确定访问是否已授权。 - 结合用户行为进行情境分析:评估访问模式是否符合用户的正常行为或工作职责。调查事件发生时段周围的任何异常活动。
-
分析地理位置和 IP 上下文:使用
source.ip和source.geo信息,验证请求是否来自受信任的位置,或者是否存在任何表明帐户被盗的异常情况。 - 检查相关的 CloudTrail 事件:查找 CloudTrail 中其他相关事件,以查看此事件之前或之后是否存在异常活动,例如异常登录尝试、权限更改或其他可能表明更广泛的未经授权操作的 API 调用。
误报分析
- 合法的管理使用:验证解密 SecureString 参数是否是用户角色的常见做法,特别是如果用于自动化脚本或部署流程(如涉及 Terraform 或类似工具的流程)中。
响应和补救
- 立即验证:联系负责 API 调用的用户或团队,以验证其意图和授权。
- 审查和修订权限:如果访问未经授权,请审查分配给用户或角色的权限,以确保它们符合最小权限原则。
- 审核参数访问策略:确保管理 SecureString 参数访问的策略是严格的,并且启用了审核日志以跟踪带有解密的访问。
- 事件响应:如果确认存在可疑活动,请按照组织的事件响应计划进行操作,以缓解任何潜在的安全问题。
- 增强的监控和告警:加强监控规则,以检测对 SecureString 参数的异常访问,尤其是涉及解密的访问。
其他信息
此规则仅关注 AWS Systems Manager (SSM) 参数中的 SecureString。SecureString 使用 AWS 密钥管理服务 (KMS) 密钥进行加密。当用户访问 SecureString 参数时,他们可以指定是否应该解密该参数。如果用户指定应解密该参数,则解密后的值将返回到响应中。
设置
编辑此规则要求将 AWS CloudTrail 日志摄入到 Elastic Stack 中。确保 AWS 集成已正确配置为收集 AWS CloudTrail 日志。此规则还需要 AWS Systems Manager (SSM) API 操作的事件日志记录,可以在 CloudTrail 的数据事件设置中启用。
规则查询
编辑event.dataset: aws.cloudtrail
and event.provider: "ssm.amazonaws.com"
and event.action: (GetParameters or GetParameter)
and event.outcome: success
and aws.cloudtrail.request_parameters: *withDecryption=true*
框架:MITRE ATT&CKTM
-
策略
- 名称:凭证访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:来自密码存储的凭证
- ID:T1555
- 参考 URL:https://attack.mitre.org/techniques/T1555/
-
子技术
- 名称:云机密管理存储
- ID:T1555.006
- 参考 URL:https://attack.mitre.org/techniques/T1555/006/