AWS EC2 全网络数据包捕获检测

AWS EC2 全网络数据包捕获检测编辑

识别 Amazon Elastic Compute Cloud (EC2) 实例中潜在的流量镜像。流量镜像是 Amazon VPC 的一项功能，您可以使用它来复制来自弹性网络接口的网络流量。此功能可能被滥用于从未加密的内部流量中泄露敏感数据。

规则类型: 查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重程度: 中等

风险评分: 47

每隔: 10m 运行

搜索时间范围: now-60m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考资料:

标签:

领域: 云
数据源: AWS
数据源: Amazon Web Services
用例: 网络安全监控
战术: 渗透
战术: 收集

版本: 206

规则作者:

Elastic
Austin Songer

规则许可证: Elastic License v2

调查指南编辑

设置编辑

AWS Fleet 集成、Filebeat 模块或类似结构化数据需要与该规则兼容。

规则查询编辑

event.dataset:aws.cloudtrail and event.provider:ec2.amazonaws.com and
event.action:(CreateTrafficMirrorFilter or CreateTrafficMirrorFilterRule or CreateTrafficMirrorSession or CreateTrafficMirrorTarget) and
event.outcome:success

框架: MITRE ATT&CK^TM

战术
- 名称: 渗透
- ID: TA0010
- 参考 URL: https://attack.mitre.org/tactics/TA0010/
技术
- 名称: 自动化渗透
- ID: T1020
- 参考 URL: https://attack.mitre.org/techniques/T1020/
战术
- 名称: 收集
- ID: TA0009
- 参考 URL: https://attack.mitre.org/tactics/TA0009/
技术
- 名称: 数据暂存
- ID: T1074
- 参考 URL: https://attack.mitre.org/techniques/T1074/

« AWS EC2 加密已禁用 AWS EC2 实例连接 SSH 公钥已上传 »