AWS Bedrock 防护栏在单个被阻止请求中检测到多个策略违规
编辑AWS Bedrock 防护栏在单个被阻止请求中检测到多个策略违规编辑
识别单个请求中 AWS Bedrock 防护栏的多次违规,导致阻止操作,增加了恶意意图的可能性。多次违规意味着用户可能故意试图绕过安全控制、访问敏感信息或利用系统中的漏洞。
规则类型: esql
规则索引: 无
严重程度: 低
风险评分: 21
运行间隔: 10分钟
搜索索引范围: now-60m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域: LLM
- 数据源: AWS Bedrock
- 数据源: AWS S3
- 资源: 调查指南
- 用例: 策略违规
- Mitre Atlas: T0051
- Mitre Atlas: T0054
版本: 1
规则作者:
- Elastic
规则许可证: Elastic License v2
设置编辑
设置
此规则要求在 AWS Bedrock 中配置防护栏。有关更多信息,请参阅 AWS Bedrock 文档
https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-create.html
规则查询编辑
from logs-aws_bedrock.invocation-* | where gen_ai.policy.action == "BLOCKED" | eval policy_violations = mv_count(gen_ai.policy.name) | where policy_violations > 1 | stats total_unique_request_violations = count(*) by policy_violations, user.id, gen_ai.request.model.id, cloud.account.id | sort total_unique_request_violations desc