AWS CloudWatch 日志流删除

AWS CloudWatch 日志流删除编辑

识别 AWS CloudWatch 日志流的删除操作，该操作会永久删除与该流关联的所有存档日志事件。

规则类型: 查询

规则索引:

严重性: 中等

风险分数: 47

每隔: 10m

搜索索引时间范围: now-60m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最高警报次数: 100

参考资料:

标签:

版本: 209

规则作者:

规则许可证: Elastic License v2

排查和分析

调查 AWS CloudWatch 日志流删除

Amazon CloudWatch 是一种监控和可观察性服务，它以日志、指标和事件的形式收集资源和应用程序的监控和操作数据。此数据可用于检测环境中的异常行为，设置警报，并排显示日志和指标，采取自动化操作，排查问题，并发现见解，确保应用程序平稳运行。

日志流是共享相同来源的一系列日志事件。CloudWatch Logs 中的每个单独日志来源都构成一个单独的日志流。

此规则会查找使用 API DeleteLogStream 操作删除日志流的情况。攻击者可以这样做以掩盖其踪迹，并影响依赖这些来源的安全监控。

可能的调查步骤

误报分析

响应和补救

根据排查结果，启动事件响应流程。
在调查和响应期间，禁用或限制帐户。
识别事件的可能影响，并相应地确定优先级；以下操作可以帮助您了解上下文
确定帐户在云环境中的角色。
评估受影响服务和服务器的关键程度。
与您的 IT 团队合作，确定并最大程度地减少对用户的影响。
确定攻击者是否在横向移动并入侵其他帐户、服务器或服务。
识别与此活动相关的任何监管或法律影响。
调查攻击者入侵或使用的系统上的凭据泄露，确保识别所有受入侵的帐户。根据需要重置密码或删除 API 密钥，以撤销攻击者对环境的访问权限。与您的 IT 团队合作，在执行这些操作时最大程度地减少对业务运营的影响。
检查是否创建了未经授权的新用户，删除未经授权的新帐户，并请求其他 IAM 用户重置密码。
考虑为用户启用多因素身份验证。
查看分配给相关用户的权限，以确保遵循最小特权原则。
实施 AWS 概述的安全最佳实践。
采取必要的行动，将受影响的系统、数据或服务恢复到正常运行级别。
识别攻击者滥用的初始攻击向量，并采取措施防止通过相同向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

AWS Fleet 集成、Filebeat 模块或类似结构的数据必须与此规则兼容。

event.dataset:aws.cloudtrail and event.provider:logs.amazonaws.com and event.action:DeleteLogStream and event.outcome:success

框架: MITRE ATT&CK^TM

策略
- 名称：影响
- ID：TA0040
- 参考 URL：https://attack.mitre.org/tactics/TA0040/
技术
- 名称：数据破坏
- ID：T1485
- 参考 URL：https://attack.mitre.org/techniques/T1485/
策略
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：削弱防御
- ID：T1562
- 参考 URL：https://attack.mitre.org/techniques/T1562/
子技术
- 名称：禁用或修改工具
- ID：T1562.001
- 参考 URL：https://attack.mitre.org/techniques/T1562/001/