AWS EFS 文件系统或挂载被删除编辑

检测 EFS 文件系统或挂载被删除的情况。攻击者可能会破坏使用被删除挂载点的任何文件系统,这可能会中断使用这些挂载点的实例或应用程序。必须先删除挂载点,然后再删除文件系统,否则攻击者将无法删除文件系统。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-aws.cloudtrail-*

严重程度: 中等

风险评分: 47

每隔: 10m 运行一次

搜索时间范围: now-60m (日期数学格式,另请参见 附加回溯时间)

每次执行的最大警报数: 100

参考资料:

标签:

  • 领域: 云
  • 数据源: AWS
  • 数据源: Amazon Web Services
  • 战术: 影响

版本: 206

规则作者:

  • Austin Songer

规则许可证: Elastic 许可证 v2

调查指南编辑

设置编辑

需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与该规则兼容。

规则查询编辑

event.dataset:aws.cloudtrail and event.provider:elasticfilesystem.amazonaws.com and
event.action:(DeleteMountTarget or DeleteFileSystem) and event.outcome:success

框架: MITRE ATT&CKTM