AWS S3 存储桶过期生命周期配置已添加
编辑AWS S3 存储桶过期生命周期配置已添加
编辑识别已添加到 S3 存储桶的过期生命周期配置。生命周期配置可用于管理存储桶中的对象,包括设置过期策略。此规则检测何时将生命周期配置添加到 S3 存储桶,这可能表示存储桶中的对象将在指定时间段后自动删除。这可用于通过删除包含恶意活动证据的对象来规避检测。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail*
严重性: 低
风险评分: 21
运行频率: 10 分钟
搜索索引起始时间: now-60m (Date Math 格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 域: 云
- 数据源: AWS
- 数据源: Amazon Web Services
- 数据源: Amazon S3
- 用例: 资产可见性
- 战术: 防御规避
版本: 2
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑分类和分析
调查 AWS S3 存储桶过期生命周期配置已添加
此规则检测何时将过期生命周期配置添加到 AWS 中的 S3 存储桶。此类配置可以自动删除存储桶内的对象,经过指定时间后,可能会通过自动删除日志或其他数据来混淆未经授权的访问或恶意活动的证据。
详细调查步骤
-
查看受影响的 S3 存储桶: 检查已添加生命周期配置的存储桶详细信息 (
bucketName)。 - 确定存储在此存储桶中的内容和数据的重要性,以评估生命周期策略的影响。
- 分析生命周期配置:
-
过期策略: 记下生命周期规则中
Expiration下的Days参数。这表示创建数据后,数据在自动删除之前将在存储桶中保留多长时间。 -
规则 ID 和状态: 查看生命周期规则的
ID和Status,以了解其操作范围和激活状态。 - 用户身份和活动:
-
用户详细信息: 调查进行更改的用户 (
user_identity.arn)。确定此用户的角色是否通常涉及管理 S3 存储桶配置。 -
身份验证详细信息: 检查身份验证方法以及使用的访问密钥 (
access_key_id) 是否定期用于此类配置,或者是否偏离了正常使用模式。 - 源 IP 和用户代理:
-
源 IP 地址: 发出请求的 IP 地址 (
source.ip) 可以提供有关请求者地理位置的线索。确定此位置是否与用户的已知位置一致。 - 用户代理: 分析用户代理字符串以了解发出请求的客户端或服务类型,这有助于识别脚本自动化与手动更改。
可能受损或滥用的指标
- 频繁更改: 查找对相同或多个存储桶中的生命周期策略的频繁修改,这可能表示尝试动态地操纵数据保留。
- 异常用户活动: 与用户典型行为模式不相关的活动,例如在奇怪的时间或从不寻常的位置进行更改,应标记出来以供进一步调查。
误报分析
- 验证可能需要此类生命周期策略的操作要求,尤其是在出于合规性和节省成本的原因严格管理数据保留策略的环境中。
响应和补救
- 立即审查: 如果更改未经授权,请考虑立即恢复生命周期配置更改,以防止潜在的数据丢失。
- 增强监控: 实施监控以在整个 S3 环境中针对生命周期配置的更改发出警报。
- 用户教育: 确保有权访问 S3 存储桶等关键资源的用户了解有关数据保留和安全的最佳实践和公司政策。
其他信息
有关管理 S3 生命周期策略并确保符合组织数据保留和安全策略的更多指导,请参阅有关 S3 生命周期配置的 AWS 官方文档。
设置
编辑此规则要求将 S3 数据事件记录到 CloudTrail。CloudTrail 跟踪可以配置为使用 AWS 管理控制台或 AWS CLI 记录 S3 数据事件。
规则查询
编辑event.dataset: "aws.cloudtrail" and event.provider: "s3.amazonaws.com" and
event.action: PutBucketLifecycle and event.outcome: success and
aws.cloudtrail.request_parameters: (*LifecycleConfiguration* and *Expiration=*)
框架: MITRE ATT&CKTM
-
战术
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 指示器删除
- ID: T1070
- 参考 URL: https://attack.mitre.org/techniques/T1070/