AWS IAM Roles Anywhere 配置文件创建
编辑AWS IAM Roles Anywhere 配置文件创建编辑
识别 AWS Roles Anywhere 配置文件的创建。AWS Roles Anywhere 是一项功能,允许您使用 AWS Identity and Access Management (IAM) 配置文件,通过信任锚从任何位置管理对 AWS 资源的访问。此规则检测可以从任何服务假定的配置文件的创建。攻击者可能会创建与过度宽松的角色绑定的配置文件,以保持对 AWS 资源的访问权限。请确保配置文件创建是预期的,并且信任策略已安全配置。
规则类型:查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性:低
风险评分: 21
运行频率:10 分钟
搜索索引范围:now-30m(日期数学格式,另请参阅其他回溯时间)
每次执行的最大警报数: 100
参考:
- https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html
- https://docs.datadoghq.com/security/default_rules/cloudtrail-aws-iam-roles-anywhere-trust-anchor-created/
- https://ermetic.com/blog/aws/keep-your-iam-users-close-keep-your-third-parties-even-closer-part-1/
- https://docs.aws.amazon.com/rolesanywhere/latest/APIReference/API_CreateProfile.html
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS IAM
- 用例:身份和访问审核
- 战术:持久化
版本: 1
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南编辑
分类和分析
调查 AWS IAM Roles Anywhere 配置文件创建
此规则检测 AWS Roles Anywhere 配置文件的创建。AWS Roles Anywhere 允许您使用 AWS Identity and Access Management (IAM) 配置文件,通过信任锚从任何位置管理对 AWS 资源的访问。攻击者可能会创建与过度宽松的角色绑定的配置文件,以保持对 AWS 资源的访问权限。确保配置文件创建是预期的,并且信任策略已安全配置至关重要。
可能的调查步骤
-
识别操作者:查看
aws.cloudtrail.user_identity.arn和aws.cloudtrail.user_identity.access_key_id字段,以确定谁创建了配置文件。验证此操作者是否通常执行此类操作,以及他们是否具有必要的权限。 -
查看请求详细信息:检查
aws.cloudtrail.request_parameters以了解配置文件创建的具体详细信息。查找任何异常参数或过度宽松的角色,这些参数或角色可能表明未经授权或恶意活动。 -
分析请求来源:调查
source.ip和source.geo字段,以确定请求的位置和来源。确保请求来自已知且受信任的位置。 -
检查创建的配置文件的权限:查看与创建的配置文件关联的
roleArns。验证这些角色是否适合用户的预期操作,并且不会授予过多的权限。 -
验证配置文件的配置:确保配置文件的
durationSeconds、enabled和tags已根据您组织的安全策略进行配置。请特别注意任何可能允许长时间访问或隐藏活动的配置。
误报分析
- 合法的管理操作:确认配置文件创建是否与变更管理系统中记录的计划更新、开发活动或合法管理任务一致。
- 一致性检查:将操作与用户或组织内执行的类似操作的历史数据进行比较。如果该操作与过去的合法活动一致,则可能表明是误报。
-
通过结果验证:检查
aws.cloudtrail.response_elements和event.outcome,以确认配置文件创建是否成功以及是否按策略执行。
响应和修复
- 立即审查并在必要时撤消:如果配置文件创建未经授权,请禁用或删除创建的配置文件,并审查关联的角色和权限是否存在任何潜在的滥用行为。
- 增强监控和警报:调整监控系统以对类似操作发出警报,尤其是涉及敏感角色或意外位置的操作。
- 教育和培训:为具有管理权限的用户提供有关配置文件和角色管理安全最佳实践的重要性的额外培训,以及未经授权创建配置文件的风险。
- 审核 IAM 策略和权限:对所有 IAM 策略和关联权限进行全面审核,以确保它们遵循最小权限原则。
- 事件响应:如果有恶意企图或安全漏洞的迹象,请启动事件响应协议以减轻任何损害并防止未来再次发生。
其他信息
有关管理 AWS IAM Roles Anywhere 配置文件和保护 AWS 环境的更多指导,请参阅AWS Roles Anywhere 文档和 AWS 安全最佳实践。此外,有关配置文件管理和潜在滥用的具体详细信息,请参阅以下资源:-AWS IAM Roles Anywhere 配置文件创建 API 参考-Ermetic 博客 - 管理第三方访问
规则查询编辑
event.dataset:aws.cloudtrail
and event.provider: rolesanywhere.amazonaws.com
and event.action: CreateProfile
and event.outcome: success
框架:MITRE ATT&CKTM
-
战术
- 名称:持久化
- ID:TA0003
- 参考 URL:https://attack.mitre.org/tactics/TA0003/
-
技术
- 名称:帐户操纵
- ID:T1098
- 参考 URL:https://attack.mitre.org/techniques/T1098/
-
子技术
- 名称:其他云角色
- ID:T1098.003
- 参考 URL:https://attack.mitre.org/techniques/T1098/003/