添加了 AWS S3 存储桶过期生命周期配置
编辑添加了 AWS S3 存储桶过期生命周期配置编辑
识别添加到 S3 存储桶的过期生命周期配置。生命周期配置可用于管理存储桶中的对象,包括设置过期策略。此规则检测何时将生命周期配置添加到 S3 存储桶,这可能表明存储桶中的对象将在指定时间段后自动删除。这可用于通过删除包含恶意活动证据的对象来逃避检测。
规则类型:查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail*
严重性:低
风险评分: 21
运行间隔:10 分钟
搜索的索引范围:now-60m(日期数学格式,另请参阅额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:Amazon S3
- 用例:资产可见性
- 策略:防御规避
版本: 1
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查添加的 AWS S3 存储桶过期生命周期配置
此规则检测何时在 AWS 中的 S3 存储桶中添加了过期生命周期配置。此类配置可以自动删除存储桶中指定时间段后的对象,可能会通过自动删除日志或其他数据来混淆未经授权访问或恶意活动的证据。
详细调查步骤
-
查看受影响的 S3 存储桶:检查已添加生命周期配置的存储桶详细信息(
bucketName)。 - 确定存储在此存储桶中的数据的内容和重要性,以评估生命周期策略的影响。
- 分析生命周期配置:
-
过期策略:注意生命周期规则中
过期下的天数参数。这表示数据创建后将在存储桶中保留多长时间才会被自动删除。 -
规则 ID 和状态:查看生命周期规则的
ID和状态,以了解其操作范围和激活状态。 - 用户身份和活动:
-
用户详细信息:调查进行更改的用户(
user_identity.arn)。确定此用户的角色是否通常涉及管理 S3 存储桶配置。 -
身份验证详细信息:检查身份验证方法以及使用的访问密钥(
access_key_id)是例行用于此类配置还是偏离了正常使用模式。 - 源 IP 和用户代理:
-
源 IP 地址:发出请求的 IP 地址(
source.ip)可以提供有关请求者地理位置的线索。确定此位置是否与用户的已知位置一致。 - 用户代理:分析用户代理字符串以了解发出请求的客户端或服务的类型,这有助于识别脚本自动化与手动更改。
可能的入侵或滥用指标
- 频繁更改:查找对相同或多个存储桶中的生命周期策略的频繁修改,这可能表明尝试动态操作数据保留。
- 异常用户活动:与用户的典型行为模式不相关的活动,例如在非正常时间或从异常位置进行更改,应标记为需要进一步调查。
误报分析
- 验证可能需要此类生命周期策略的操作要求,尤其是在严格管理数据保留策略以符合合规性和成本节约原因的环境中。
响应和修复
- 立即审查:如果更改未经授权,请考虑立即恢复生命周期配置更改以防止潜在的数据丢失。
- 增强监控:实施监控以在您的 S3 环境中的生命周期配置发生更改时发出警报。
- 用户教育:确保有权访问 S3 存储桶等关键资源的用户了解有关数据保留和安全的最佳实践和公司策略。
附加信息
有关管理 S3 生命周期策略和确保符合组织数据保留和安全策略的进一步指导,请参阅 AWS 官方文档中的S3 生命周期配置。
设置编辑
此规则要求将 S3 数据事件记录到 CloudTrail。可以在 AWS 管理控制台中或使用 AWS CLI 配置 CloudTrail 跟踪以记录 S3 数据事件。
规则查询编辑
event.dataset: "aws.cloudtrail" and event.provider: "s3.amazonaws.com" and
event.action: PutBucketLifecycle and event.outcome: success and
aws.cloudtrail.request_parameters: (*LifecycleConfiguration* and *Expiration=*)
框架:MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:指标清除
- ID:T1070
- 参考 URL:https://attack.mitre.org/techniques/T1070/