AWS EFS 文件系统或挂载被删除
编辑AWS EFS 文件系统或挂载被删除编辑
检测 EFS 文件系统或挂载被删除的情况。攻击者可能会破坏使用被删除挂载点的任何文件系统,这可能会中断使用这些挂载点的实例或应用程序。必须先删除挂载点,然后再删除文件系统,否则攻击者将无法删除文件系统。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重程度: 中等
风险评分: 47
每隔: 10m 运行一次
搜索时间范围: now-60m (日期数学格式,另请参见 附加回溯时间
)
每次执行的最大警报数: 100
参考资料:
标签:
- 领域: 云
- 数据源: AWS
- 数据源: Amazon Web Services
- 战术: 影响
版本: 206
规则作者:
- Austin Songer
规则许可证: Elastic 许可证 v2
调查指南编辑
设置编辑
需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。
规则查询编辑
event.dataset:aws.cloudtrail and event.provider:elasticfilesystem.amazonaws.com and event.action:(DeleteMountTarget or DeleteFileSystem) and event.outcome:success
框架: MITRE ATT&CKTM
-
战术
- 名称: 影响
- ID: TA0040
- 参考 URL: https://attack.mitre.org/tactics/TA0040/
-
技术
- 名称: 数据销毁
- ID: T1485
- 参考 URL: https://attack.mitre.org/techniques/T1485/