AWS RDS 数据库实例已还原
编辑AWS RDS 数据库实例已还原编辑
拥有被盗凭据的攻击者可能会尝试复制正在运行或已删除的 RDS 数据库,以逃避防御机制或访问数据。此规则识别使用 RDS RestoreDBInstanceFromDBSnapshot 或 RestoreDBInstanceFromS3 API 操作成功还原数据库实例的尝试。
规则类型:eql
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重程度:中等
风险评分: 47
运行间隔:5 分钟
每次执行的最大警报数: 100
参考:
- https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html
- https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromS3.html
- https://github.com/RhinoSecurityLabs/pacu/blob/master/pacu/modules/rds__explore_snapshots/main.py
- https://cloud.hacktricks.xyz/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation#rds-createdbsnapshot-rds-restoredbinstancefromdbsnapshot-rds-modifydbinstance
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS RDS
- 用例:资产可见性
- 战术:防御规避
版本: 207
规则作者:
- Austin Songer
- Elastic
规则许可证:Elastic 许可证 v2
规则查询编辑
any where event.dataset == "aws.cloudtrail"
and event.provider == "rds.amazonaws.com"
and event.action in ("RestoreDBInstanceFromDBSnapshot", "RestoreDBInstanceFromS3")
and event.outcome == "success"
框架:MITRE ATT&CKTM
-
战术
- 名称:防御规避
- ID:TA0005
- 参考链接:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:修改云计算基础架构
- ID:T1578
- 参考链接:https://attack.mitre.org/techniques/T1578/
-
子技术
- 名称:创建云实例
- ID:T1578.002
- 参考链接:https://attack.mitre.org/techniques/T1578/002/
-
子技术
- 名称:还原云实例
- ID:T1578.004
- 参考链接:https://attack.mitre.org/techniques/T1578/004/