通过系统管理器执行 AWS

通过系统管理器执行 AWS编辑

识别通过系统管理器执行命令和脚本。身份验证攻击者可能会滥用 RunShellScript、RunPowerShellScript 等执行方法来安装后门或使用仅限系统的命令通过反向 shell 与受损实例进行交互。

规则类型：查询

规则索引:

严重程度：低

风险评分: 21

运行间隔：10 分钟

搜索的索引范围：now-60m（日期数学格式，另请参阅 其他回溯时间）

每次执行的最大警报数: 100

参考:

标签:

版本: 209

规则作者:

规则许可证：Elastic 许可证 v2

分类和分析

调查通过系统管理器执行的 AWS

Amazon EC2 Systems Manager 是一项管理服务，旨在帮助用户自动收集软件清单、应用操作系统补丁、创建系统映像以及配置 Windows 和 Linux 操作系统。

此规则查找使用系统管理器执行的命令和脚本。请注意，事件中不包含这些脚本和命令的实际内容，因此分析师必须使用主机级安全产品获得可见性。

可能的调查步骤

误报分析

响应和修复

根据分类结果启动事件响应流程。
在调查和响应期间禁用或限制该帐户。
确定事件的可能影响并确定优先级；以下操作可以帮助您获得背景信息
确定云环境中的帐户角色。
评估受影响的服务和服务器的关键程度。
与您的 IT 团队合作，确定并最大程度地减少对用户的影响。
确定攻击者是否正在横向移动并入侵其他帐户、服务器或服务。
确定与此活动相关的任何监管或法律后果。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有受损帐户。根据需要重置密码或删除 API 密钥，以撤销攻击者对环境的访问权限。在执行这些操作期间，与您的 IT 团队合作，最大程度地减少对业务运营的影响。
检查是否创建了未经授权的新用户，删除未经授权的新帐户，并请求重置其他 IAM 用户的密码。
考虑为用户启用多重身份验证。
查看分配给涉事用户的权限，以确保遵循最小权限原则。
实施 AWS 概述的安全最佳实践。
采取必要措施使受影响的系统、数据或服务恢复到正常运行级别。
确定攻击者滥用的初始向量，并采取行动防止通过同一向量再次感染。
使用事件响应数据更新日志记录和审计策略，以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

AWS Fleet 集成、Filebeat 模块或类似的结构化数据需要与此规则兼容。

event.dataset:aws.cloudtrail and event.provider:ssm.amazonaws.com and event.action:SendCommand and event.outcome:success

框架：MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考 URL：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：网络钓鱼
- ID：T1566
- 参考 URL：https://attack.mitre.org/techniques/T1566/
子技术
- 名称：鱼叉式网络钓鱼链接
- ID：T1566.002
- 参考 URL：https://attack.mitre.org/techniques/T1566/002/