› › ›

AWS EC2 安全组配置更改

编辑

AWS EC2 安全组配置更改

编辑

识别 AWS 安全组配置的更改。安全组类似于虚拟防火墙，修改配置可能会允许未经授权的访问。威胁行为者可能会滥用此功能来建立持久性、泄露数据或在 AWS 环境中进行横向移动。

规则类型: 查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引时间范围: now-9m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security-groups.html

标签:

域: 云
数据源: AWS
数据源: 亚马逊网络服务
数据源: AWS EC2
用例: 网络安全监控
资源: 调查指南
战术: 持久性
战术: 防御规避

版本: 207

规则作者:

Elastic
Austin Songer

规则许可证: Elastic License v2

调查指南

编辑

调查 AWS EC2 安全组配置更改

此规则识别对 AWS 安全组的任何更改，该安全组充当虚拟防火墙，控制 EC2 实例等资源的入站和出站流量。修改安全组配置可能会使关键资产暴露于未经授权的访问。威胁行为者可能会利用这些更改来建立持久性、泄露数据或在 AWS 环境中进行横向移动。

可能的调查步骤

识别修改的安全组:
- 安全组 ID: 检查 aws.cloudtrail.flattened.request_parameters.groupId 字段以识别受影响的特定安全组。
- 规则更改: 审查 aws.cloudtrail.flattened.response_elements.securityGroupRuleSet 以确定新规则或配置，包括任何添加或删除的 IP 范围、协议更改和端口规范。
审查用户上下文:
- 用户身份: 检查 aws.cloudtrail.user_identity.arn 字段以确定哪个用户或角色进行了修改。验证这是否是授权的管理员或可能被入侵的帐户。
- 访问模式: 分析该用户是否定期与安全组配置交互，或者此事件是否超出其帐户的正常情况。
分析配置更改:
- 出口 vs. 入口: 通过审查 securityGroupRuleSet 中的 isEgress 等字段，确定更改是否影响入站（入口）或出站（出口）流量。未经授权的出站流量更改可能表明数据泄露尝试。
- IP 范围和端口: 评估任何添加的 IP 范围，尤其是 0.0.0.0/0，它将资源暴露给互联网。还应评估端口更改，以确保仅打开必要的端口。
检查用户代理和源 IP:
- 用户代理分析: 检查 user_agent.original 字段以识别所使用的工具或应用程序，例如 AWS Console 或 Terraform，这可以揭示该操作是自动还是手动。
- 源 IP 和地理位置: 使用 source.address 和 source.geo 字段验证 IP 地址和地理位置是否与您组织的预期位置匹配。意外的 IP 或区域可能表示未经授权的访问。
评估持久性指标:
- 重复更改: 调查最近是否在多个安全组中进行了类似的更改，这可能表明试图维护或扩展访问。
- 权限审查: 确认用户的 IAM 策略已配置为仅在必要时限制对安全组的更改。
与其他 CloudTrail 事件关联:
- 交叉引用其他安全事件: 查找相关操作，例如 AuthorizeSecurityGroupIngress、CreateSecurityGroup 或 RevokeSecurityGroupIngress，这些操作可能表明未经授权访问的其他或准备步骤。
- 监控 IAM 或网络更改: 检查同一时间范围内的 IAM 修改、网络接口更改或其他配置更新，以检测更广泛的恶意活动。

误报分析

常规安全更改: 安全组修改可能是常规基础架构维护的一部分。验证此操作是否与已知的、计划的行政活动一致。
自动化配置管理: 如果您正在使用 Terraform 或 CloudFormation 等自动化工具，请确认更改是否与预期的配置漂移更正或部署匹配。

响应和补救

还原未经授权的更改: 如果未经授权，请将安全组配置还原到其以前的状态以保护环境。
限制安全组权限: 从任何受损或不必要的帐户中删除修改安全组的权限，以限制未来的访问。
隔离受影响的资源: 如有必要，隔离任何受影响的实例或资源，以防止进一步的未经授权的活动。
审计 IAM 和安全组策略: 定期审查与安全组相关的权限，以确保最低权限访问并防止过度访问。

其他信息

有关管理 AWS 安全组和最佳实践的更多详细信息，请参阅 AWS EC2 安全组文档和 AWS 安全最佳实践。

规则查询

编辑

event.dataset: "aws.cloudtrail"
    and event.provider: "ec2.amazonaws.com"
    and event.action:(
            "AuthorizeSecurityGroupEgress" or
            "CreateSecurityGroup" or
            "ModifyInstanceAttribute" or
            "ModifySecurityGroupRules" or
            "RevokeSecurityGroupEgress" or
            "RevokeSecurityGroupIngress")
    and event.outcome: "success"

框架: MITRE ATT&CK^TM

战术
- 名称: 持久性
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 损害防御
- ID: T1562
- 参考 URL: https://attack.mitre.org/techniques/T1562/
子技术
- 名称: 禁用或修改云防火墙
- ID: T1562.007
- 参考 URL: https://attack.mitre.org/techniques/T1562/007/

« AWS EC2 网络访问控制列表删除 AWS EC2 快照活动 »