« AWS CloudTrail 日志已创建 AWS CloudTrail 日志已暂停 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

AWS CloudTrail 日志已删除

编辑

AWS CloudTrail 日志已删除编辑

识别 AWS 日志轨迹的删除。攻击者可能会删除轨迹以试图逃避防御。

规则类型:查询

规则索引:

  • filebeat-*
  • logs-aws.cloudtrail-*

严重程度:中等

风险评分: 47

运行频率:10 分钟

搜索索引的时间范围:now-60m(日期数学格式,另请参阅 额外的回溯时间

每次执行的最大警报数: 100

参考:

标签:

  • 域:云
  • 数据源:AWS
  • 数据源:Amazon Web Services
  • 用例:日志审计
  • 资源:调查指南
  • 战术:防御规避

版本: 209

规则作者:

  • Elastic

规则许可证:Elastic 许可证 v2

调查指南编辑

分类和分析

调查 AWS CloudTrail 日志删除

Amazon CloudTrail 是一项服务,可对您的 Amazon Web Services 账户进行治理、合规性、运营审计和风险审计。借助 CloudTrail,您可以记录、持续监控和保留与 Amazon Web Services 基础架构中的操作相关的账户活动。CloudTrail 提供 Amazon Web Services 账户活动的事件历史记录,包括通过 Amazon 管理控制台、Amazon SDK、命令行工具和其他 Amazon Web Services 服务执行的操作。此事件历史记录简化了安全分析、资源变更跟踪和故障排除。

此规则使用 API DeleteTrail 操作识别 AWS 日志轨迹的删除。攻击者可以这样做以掩盖其踪迹并影响依赖此来源的安全监控。

可能的调查步骤

  • 确定执行该操作的用户账户,以及该账户是否应该执行此类操作。
  • 调查在过去 48 小时内与该用户账户相关的其他警报。
  • 联系账户和资源所有者,确认他们是否知晓此活动。
  • 检查此操作是否已获批准并根据组织的变更管理策略执行。
  • 考虑发出命令的用户的源 IP 地址和地理位置
  • 它们对于该用户来说是否正常?
  • 如果源是 EC2 IP 地址,它是否与您账户中的 EC2 实例相关联,或者源 IP 是否来自不受您控制的 EC2 实例?
  • 如果它是授权的 EC2 实例,则该活动是否与实例角色的正常行为相关联?是否存在与此实例相关的任何其他警报或可疑活动迹象?
  • 调查已删除日志轨迹的关键程度,以及责任团队是否知晓删除操作。
  • 如果您怀疑该账户已被盗用,请通过跟踪该账户在过去 24 小时内访问过的服务器、服务和数据来确定可能已被盗用的资产范围。

误报分析

  • 如果由于预期活动导致此规则在您的环境中产生大量噪声,请考虑添加例外情况 - 最好在用户和 IP 地址条件的组合下。

响应和修复

  • 根据分类的结果启动事件响应流程。
  • 在调查和响应期间禁用或限制该账户。
  • 确定事件的可能影响并确定优先级;以下操作可以帮助您获得背景信息
  • 确定云环境中的账户角色。
  • 评估受影响服务和服务器的关键程度。
  • 与您的 IT 团队合作,确定并最大程度地减少对用户的影响。
  • 确定攻击者是否正在横向移动并盗用其他账户、服务器或服务。
  • 确定与此活动相关的任何监管或法律后果。
  • 调查攻击者盗用或使用的系统上的凭据泄露情况,以确保识别所有被盗用的账户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。与您的 IT 团队合作,在执行这些操作期间最大程度地减少对业务运营的影响。
  • 检查是否创建了未经授权的新用户,删除未经授权的新账户,并请求重置其他 IAM 用户的密码。
  • 考虑为用户启用多重身份验证。
  • 查看分配给相关用户的权限,以确保遵循最小权限原则。
  • 实施 AWS 概述的安全最佳实践。
  • 采取必要的措施,使受影响的系统、数据或服务恢复到正常运行级别。
  • 确定攻击者滥用的初始攻击向量,并采取措施防止通过同一向量再次感染。
  • 使用事件响应数据,更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

AWS Fleet 集成、Filebeat 模块或类似结构的数据需要与此规则兼容。

规则查询编辑

event.dataset:aws.cloudtrail and event.provider:cloudtrail.amazonaws.com and event.action:DeleteTrail and event.outcome:success

框架:MITRE ATT&CKTM

« AWS CloudTrail 日志已创建 AWS CloudTrail 日志已暂停 »