AWS ElastiCache 安全组已修改或删除

编辑

AWS ElastiCache 安全组已修改或删除编辑

识别 ElastiCache 安全组何时被修改或删除。

规则类型：查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性：低

风险评分: 21

运行频率：10 分钟

搜索的索引范围：now-60m（日期数学格式，另请参阅额外回溯时间）

每次执行的最大警报数: 100

参考资料:

https://docs.aws.amazon.com/AmazonElastiCache/latest/APIReference/Welcome.html

标签:

域：云
数据源：AWS
数据源：Amazon Web Services
策略：防御规避

版本: 206

规则作者:

Austin Songer

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据。

规则查询编辑

event.dataset:aws.cloudtrail and event.provider:elasticache.amazonaws.com and event.action:("Delete Cache Security Group" or
"Authorize Cache Security Group Ingress" or  "Revoke Cache Security Group Ingress" or "AuthorizeCacheSecurityGroupEgress" or
"RevokeCacheSecurityGroupEgress") and event.outcome:success

框架：MITRE ATT&CK^TM

策略
- 名称：防御规避
- ID：TA0005
- 参考链接：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：削弱防御
- ID：T1562
- 参考链接：https://attack.mitre.org/techniques/T1562/
子技术
- 名称：禁用或修改云防火墙
- ID：T1562.007
- 参考链接：https://attack.mitre.org/techniques/T1562/007/

« AWS ElastiCache 安全组已创建 AWS EventBridge 规则已禁用或删除 »