AWS RDS 数据库实例已恢复
编辑AWS RDS 数据库实例已恢复
编辑拥有被盗凭证的攻击者可能会尝试复制正在运行或已删除的 RDS 数据库,以逃避防御机制或访问数据。此规则会识别使用 RDS RestoreDBInstanceFromDBSnapshot 或 RestoreDBInstanceFromS3 API 操作成功恢复数据库实例的尝试。
规则类型: eql
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 中
风险评分: 47
运行频率: 5 分钟
搜索索引范围: 无 (日期数学格式,另请参见 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
- https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html
- https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromS3.html
- https://github.com/RhinoSecurityLabs/pacu/blob/master/pacu/modules/rds__explore_snapshots/main.py
- https://cloud.hacktricks.xyz/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation#rds-createdbsnapshot-rds-restoredbinstancefromdbsnapshot-rds-modifydbinstance
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS RDS
- 用例:资产可见性
- 策略:防御规避
版本: 207
规则作者:
- Austin Songer
- Elastic
规则许可证: Elastic License v2
规则查询
编辑any where event.dataset == "aws.cloudtrail"
and event.provider == "rds.amazonaws.com"
and event.action in ("RestoreDBInstanceFromDBSnapshot", "RestoreDBInstanceFromS3")
and event.outcome == "success"
框架: MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:修改云计算基础设施
- ID:T1578
- 参考 URL:https://attack.mitre.org/techniques/T1578/
-
子技术
- 名称:创建云实例
- ID:T1578.002
- 参考 URL:https://attack.mitre.org/techniques/T1578/002/
-
子技术
- 名称:还原云实例
- ID:T1578.004
- 参考 URL:https://attack.mitre.org/techniques/T1578/004/