AWS Bedrock 检测到单个用户多次尝试使用被拒绝的模型
编辑AWS Bedrock 检测到单个用户多次尝试使用被拒绝的模型编辑
识别在 AWS Bedrock 中多次连续尝试使用被拒绝的模型资源。这可能表明试图绕过其他已批准模型的限制,或通过产生巨额成本来对环境造成影响。
规则类型: esql
规则索引: 无
严重性: 高
风险评分: 73
每隔多久运行一次: 10m
从何处开始搜索索引: now-60m (日期数学格式,另请参见 附加回溯时间)
每次执行的最大警报数量: 100
参考资料:
标签:
- 领域:LLM
- 数据源:AWS Bedrock
- 数据源:AWS S3
- 资源:调查指南
- 用例:策略违规
- Mitre Atlas: T0015
- Mitre Atlas: T0034
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
设置编辑
设置
此规则要求在 AWS Bedrock 中配置防护栏。有关更多信息,请参阅 AWS Bedrock 文档
https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-create.html
规则查询编辑
from logs-aws_bedrock.invocation-* | where gen_ai.response.error_code == "AccessDeniedException" | stats total_denials = count(*) by user.id, gen_ai.request.model.id, cloud.account.id | where total_denials > 3 | sort total_denials desc