AWS 管理控制台 Root 用户身份暴力破解

编辑

AWS 管理控制台 Root 用户身份暴力破解

编辑

检测针对 Root 用户身份对 AWS 管理控制台的大量失败身份验证尝试。攻击者可能会尝试暴力破解 Root 用户身份的密码，因为它具有对 AWS 账户的所有服务和资源的完全访问权限。

规则类型: 阈值

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引范围: now-20m（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考:

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html

标签:

域: 云
数据源: AWS
数据源: Amazon Web Services
用例: 身份和访问审计
策略: 凭证访问

版本: 207

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset:aws.cloudtrail and event.provider:signin.amazonaws.com and event.action:ConsoleLogin and aws.cloudtrail.user_identity.type:Root and event.outcome:failure

框架: MITRE ATT&CK^TM

策略
- 名称: 凭证访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
技术
- 名称: 暴力破解
- ID: T1110
- 参考 URL: https://attack.mitre.org/techniques/T1110/

« 向现有函数添加 AWS Lambda 层 AWS 管理控制台 Root 登录 »