« AWS 命令的异常城市 异常 DNS 活动 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和告警 预构建规则参考

AWS 命令的异常国家/地区

编辑

AWS 命令的异常国家/地区

编辑

一个机器学习作业检测到 AWS 命令活动,虽然该活动本身并不可疑或异常,但其来源的地理位置(国家/地区)对于该命令来说是不寻常的。这可能是因为受损的凭据或密钥被一个位于与授权用户不同的地理位置的威胁参与者使用。

规则类型: machine_learning

规则索引: 无

严重性: 低

风险评分: 21

运行频率: 15 分钟

搜索索引起始时间: now-2h (日期数学格式, 另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

  • 领域:云
  • 数据源:AWS
  • 数据源:Amazon Web Services
  • 规则类型:ML
  • 规则类型:机器学习
  • 资源:调查指南

版本: 209

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 AWS 命令的异常国家/地区

CloudTrail 日志记录提供了 AWS 环境中采取的操作的可视性。通过监视这些事件并了解组织内被认为是正常行为的内容,您可以在发生偏差时发现可疑或恶意活动。

此规则使用机器学习作业来检测 AWS API 命令,虽然该命令本身并不可疑或异常,但其来源的地理位置(国家/地区)对于该命令来说是不寻常的。这可能是因为受损的凭据或密钥被一个位于与授权用户不同的地理位置的威胁参与者使用。

来自此规则的检测告警指示 AWS API 命令或方法调用对于源 IP 地址的地理位置来说是罕见和不寻常的。

可能的调查步骤

  • 识别涉及的用户帐户以及执行的操作。验证它是否应该执行此类操作。
  • 检查 aws.cloudtrail.user_identity.arn 字段中的用户身份和 aws.cloudtrail.user_identity.access_key_id 字段中的访问密钥 ID,这可以帮助识别精确的用户上下文。
  • user_agent.original 字段中的用户代理详细信息也可能指示哪种类型的客户端发出了请求。
  • 调查过去 48 小时内与该用户帐户关联的其他告警。
  • 验证该活动是否与计划的修补程序、更新或网络管理员活动无关。
  • 检查请求参数。这些可能指示程序的来源或其任务的性质。
  • 考虑发出命令的用户的源 IP 地址和地理位置
  • 对于调用用户来说,它们看起来正常吗?
  • 如果源是 EC2 IP 地址,它是否与您的某个帐户中的 EC2 实例相关联,或者源 IP 是否来自您无法控制的 EC2 实例?
  • 如果它是授权的 EC2 实例,该活动是否与该实例角色或角色的正常行为相关联?是否还有其他告警或涉及该实例的可疑活动迹象?
  • 考虑一天中的时间。如果用户是人(而不是程序或脚本),该活动是否发生在正常的一天中的时间?
  • 如果可疑,请联系帐户所有者并确认他们是否知道此活动。
  • 如果您怀疑帐户已被泄露,请通过跟踪帐户在过去 24 小时内访问的服务器、服务和数据来确定潜在泄露资产的范围。

误报分析

  • 如果活动来自位于 AWS 中没有历史记录的国家/地区的新员工,则可能发生误报。
  • 检查命令的历史记录。如果该命令仅在最近出现,它可能是一个新的自动化模块或脚本的一部分。如果它具有一致的节奏(例如,它以少量数量每周或每月出现),它可能是内务处理或维护过程的一部分。您可以在 event.action field 字段中找到该命令。

相关规则

  • AWS 命令的异常城市 - 809b70d3-e2c3-455e-af1b-2626a5a1a276
  • 用户的异常 AWS 命令 - ac706eae-d5ec-4b14-b4fd-e8ba8086f0e1
  • 罕见的 AWS 错误代码 - 19de8096-e2b0-4bd8-80c9-34a820813fff
  • AWS 错误消息激增 - 78d3d8d9-b476-451d-a9e0-7a5addd70670

响应和补救

  • 根据分类的结果启动事件响应过程。
  • 在调查和响应期间禁用或限制该帐户。
  • 确定事件的可能影响并相应地确定优先级;以下操作可以帮助您获得上下文
  • 确定云环境中帐户的角色。
  • 评估受影响的服务和服务器的严重性。
  • 与您的 IT 团队合作,确定并最大程度地减少对用户的影响。
  • 确定攻击者是否正在横向移动并危及其他帐户、服务器或服务。
  • 确定与此活动相关的任何监管或法律后果。
  • 调查在攻击者泄露或使用的系统上的凭据泄露情况,以确保识别出所有泄露的帐户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。在这些操作期间,与您的 IT 团队合作,以最大程度地减少对业务运营的影响。
  • 检查是否创建了未经授权的新用户,删除未经授权的新帐户,并请求其他 IAM 用户重置密码。
  • 考虑为用户启用多因素身份验证。
  • 查看分配给相关用户的权限,以确保遵循最小权限原则。
  • 实施 AWS 概述的安全最佳实践。
  • 采取必要的措施,使受影响的系统、数据或服务恢复到其正常的运营水平。
  • 确定攻击者滥用的初始向量,并采取措施防止通过同一向量再次感染。
  • 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

编辑

设置

此规则需要安装相关的机器学习作业以及来自 AWS 的数据。

异常检测设置

启用规则后,关联的机器学习作业将自动启动。您可以查看检测规则的“定义”面板下链接的机器学习作业。如果作业因错误而未启动,则必须解决该问题,作业才能成功开始。有关设置异常检测作业的更多详细信息,请参阅帮助指南

AWS 集成设置

AWS 集成允许您使用 Elastic Agent 从 Amazon Web Services (AWS) 收集日志和指标。

应执行以下步骤,以便将 Elastic Agent 系统集成“aws”添加到您的系统中

  • 转到 Kibana 主页,然后单击“添加集成”。
  • 在查询栏中,搜索“AWS”并选择集成以查看有关它的更多详细信息。
  • 单击“添加 AWS”。
  • 配置集成名称,并可选择添加描述。
  • 相应地查看可选设置和高级设置。
  • 将新安装的“aws”添加到现有或新的代理策略,并将代理部署到您需要 aws 日志文件的系统中。
  • 单击“保存并继续”。
  • 有关集成的更多详细信息,请参阅帮助指南
« AWS 命令的异常城市 异常 DNS 活动 »