AWS 安全组配置变更检测

编辑

AWS 安全组配置变更检测编辑

识别 AWS 安全组配置的变更。安全组类似于虚拟防火墙，修改配置可能会导致未经授权的访问。攻击者可能会滥用此功能来建立持久性、窃取数据或在 AWS 环境中横向移动。

规则类型：查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重程度：低

风险评分: 21

运行频率：10 分钟

搜索索引范围：now-30m（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考:

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security-groups.html

标签:

域：云
数据源：AWS
数据源：Amazon Web Services
数据源：AWS EC2
用例：网络安全监控
战术：持久性

版本: 206

规则作者:

Elastic
Austin Songer

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据。

规则查询编辑

event.dataset:aws.cloudtrail and event.provider:ec2.amazonaws.com and event.action:(AuthorizeSecurityGroupEgress or
CreateSecurityGroup or ModifyInstanceAttribute or ModifySecurityGroupRules or RevokeSecurityGroupEgress or
RevokeSecurityGroupIngress) and event.outcome:success

框架：MITRE ATT&CK^TM

战术
- 名称：持久性
- ID：TA0003
- 参考 URL：https://attack.mitre.org/tactics/TA0003/
战术
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：损害防御
- ID：T1562
- 参考 URL：https://attack.mitre.org/techniques/T1562/
子技术
- 名称：禁用或修改云防火墙
- ID：T1562.007
- 参考 URL：https://attack.mitre.org/techniques/T1562/007/

« AWS STS GetSessionToken 滥用 AWS 安全令牌服务 (STS) AssumeRole 使用 »