AWS Security Token Service (STS) AssumeRole 使用

编辑

AWS Security Token Service (STS) AssumeRole 使用编辑

识别 AssumeRole 的使用。AssumeRole 返回一组可用于访问 AWS 资源的临时安全凭证。攻击者可以使用这些凭证进行横向移动并提升权限。

规则类型：查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重程度：低

风险评分: 21

运行频率：5 分钟

搜索索引范围：无（日期数学格式，另请参阅额外回溯时间）

每次执行的最大警报数: 100

参考:

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

标签:

域：云
数据源：AWS
数据源：Amazon Web Services
数据源：AWS STS
用例：身份和访问审计
策略：权限提升

版本: 207

规则作者:

Austin Songer

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询编辑

event.dataset:aws.cloudtrail and event.provider:sts.amazonaws.com and event.action:AssumeRole and
aws.cloudtrail.user_identity.session_context.session_issuer.type:Role and event.outcome:success

框架：MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考链接：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：滥用权限控制机制
- ID：T1548
- 参考链接：https://attack.mitre.org/techniques/T1548/
策略
- 名称：横向移动
- ID：TA0008
- 参考链接：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：使用备用身份验证材料
- ID：T1550
- 参考链接：https://attack.mitre.org/techniques/T1550/
子技术
- 名称：应用程序访问令牌
- ID：T1550.001
- 参考链接：https://attack.mitre.org/techniques/T1550/001/

« AWS 安全组配置变更检测 AWS Systems Manager SecureString 参数请求（带解密标志）»