› › ›

AWS 管理控制台对根用户身份的暴力破解

编辑

AWS 管理控制台对根用户身份的暴力破解编辑

识别针对 AWS 管理控制台的根用户身份的大量身份验证尝试失败。攻击者可能会尝试暴力破解根用户身份的密码，因为它拥有对 AWS 账户所有服务和资源的完全访问权限。

规则类型：阈值

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性：高

风险评分: 73

运行间隔：5 分钟

搜索的索引范围：now-20m（日期数学格式，另请参阅额外回溯时间）

每次执行的最大警报数: 100

参考:

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html

标签:

域：云
数据源：AWS
数据源：Amazon Web Services
用例：身份和访问审核
策略：凭据访问

版本: 207

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据。

规则查询编辑

event.dataset:aws.cloudtrail and event.provider:signin.amazonaws.com and event.action:ConsoleLogin and aws.cloudtrail.user_identity.type:Root and event.outcome:failure

框架：MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考 URL：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：暴力破解
- ID：T1110
- 参考 URL：https://attack.mitre.org/techniques/T1110/

« AWS Lambda 层添加到现有函数 AWS 管理控制台根用户登录 »