AWS IAM 受损密钥隔离策略附加到用户
编辑AWS IAM 受损密钥隔离策略附加到用户
编辑此规则查找使用 IAM AttachUserPolicy API 操作将 CompromisedKeyQuarantine 或 CompromisedKeyQuarantineV2 AWS 托管策略附加到现有 IAM 用户的行为。此策略拒绝某些操作的访问,并在 IAM 用户的凭据遭到泄露或公开暴露时由 AWS 团队应用。
规则类型: eql
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 高
风险评分: 73
运行频率: 5 分钟
搜索索引起始时间: now-6m (日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 领域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS IAM
- 资源:调查指南
- 用例:身份和访问审计
- 策略:凭证访问
版本: 1
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑分类和分析
调查 AWS IAM 受损密钥隔离策略附加到用户
AWS IAM CompromisedKeyQuarantine 和 CompromisedKeyQuarantineV2 托管策略会拒绝某些操作,并由 AWS 团队应用于具有暴露凭据的用户。此操作会附带一个支持案例,其中指定了在分离策略之前要遵循的说明。
可能的调查步骤
-
识别潜在的受损身份:查看
aws.cloudtrail.request_parameters的userName参数,以确定被隔离的 IAM 实体。 - 使用 AWS 支持案例进行情境化:查看 AWS 提供的任何信息,其中包含有关被隔离帐户和隔离原因的其他信息。
- 遵循支持案例说明:不要还原隔离策略附加或删除受损密钥。而是遵循支持案例中给出的说明。
- 与其他活动关联:搜索此更改之前和之后的相关 CloudTrail 事件,以查看同一参与者或 IP 地址是否从事了潜在的可疑活动。
- 采访相关人员:如果受损密钥属于用户,请与负责管理受损密钥的人员或团队验证这些相关操作的意图和授权。
误报分析
- 不应有太多与此操作相关的误报,因为此操作是由 AWS 响应受损或公开暴露的凭据而发起的。
响应和补救
- 立即审查和撤销:更新用户的 IAM 权限以删除隔离策略并禁用受损凭据。
- 策略更新:审查并可能更新您组织关于凭据存储的策略,以加强控制并防止公开暴露。
- 事件响应:如果确认存在恶意意图,则将其视为数据泄露事件并启动事件响应协议。这包括进一步调查、遏制和恢复。
其他信息
有关在 AWS 环境中管理和保护凭据的进一步指南,请参阅有关安全最佳实践的 AWS IAM 用户指南 以及有关 修复潜在受损的 AWS 凭据的指南。
规则查询
编辑any where event.dataset == "aws.cloudtrail" and event.action == "AttachUserPolicy" and event.outcome == "success" and stringContains(aws.cloudtrail.request_parameters, "AWSCompromisedKeyQuarantine")
框架: MITRE ATT&CKTM
-
策略
- 名称:凭证访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:不安全的凭据
- ID:T1552
- 参考 URL:https://attack.mitre.org/techniques/T1552/