« AWS SAML 活动 AWS STS GetSessionToken 滥用 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

首次调用 AWS STS GetCallerIdentity API

编辑

首次调用 AWS STS GetCallerIdentity API编辑

可以访问一组泄露凭据的攻击者可能会尝试验证凭据是否有效并确定他们正在使用的帐户。此规则查找在过去 15 天内首次调用 STS GetCallerIdentity API 操作的身份,这可能表明凭据已泄露。合法用户不需要调用此操作,因为他们应该知道自己正在使用的帐户。

规则类型:new_terms

规则索引:

  • filebeat-*
  • logs-aws.cloudtrail-*

严重性:中等

风险评分: 47

运行频率:10 分钟

搜索的索引范围:now-60m(日期数学格式,另请参阅其他回溯时间

每次执行的最大警报数: 100

参考:

标签:

  • 域:云
  • 数据源:AWS
  • 数据源:Amazon Web Services
  • 数据源:AWS STS
  • 用例:身份和访问审核
  • 策略:发现
  • 资源:调查指南

版本: 1

规则作者:

  • Elastic

规则许可证:Elastic License v2

调查指南编辑

分类和分析

调查首次调用 AWS GetCallerIdentity API

AWS 安全令牌服务 (AWS STS) 是一项使您能够为用户请求临时、权限受限的凭据的服务。GetCallerIdentity 函数返回有关拥有用于调用该操作的凭据的 IAM 用户或角色的详细信息。运行此操作不需要任何权限,即使访问被拒绝,也会返回相同的信息。此规则查找 GetCallerIdentity 操作的使用情况。这是一个新术语规则,表明这是特定用户身份在过去 15 天内首次调用此操作。

可能的调查步骤

  • 识别帐户及其在环境中的角色,属于 Lambda 或 EC2 实例等服务的任何角色都将高度可疑。
  • 识别应使用此帐户的应用程序或用户。
  • 调查过去 48 小时内与此帐户相关的其他警报。
  • 通过将 user_agent.original 字段中的异常值与预期和授权的使用情况以及历史数据进行比较来调查它们。可疑的用户代理值包括非 SDK、AWS CLI、自定义用户代理等。
  • 通过查找涉及其他用户的类似事件来评估此行为在环境中是否普遍存在。
  • 联系帐户所有者,确认他们是否知道此活动。
  • 考虑发出命令的用户的源 IP 地址和地理位置
  • 它们对于调用用户来说是否正常?
  • 如果源是 EC2 IP 地址,它是否与您某个帐户中的 EC2 实例相关联,或者源 IP 是否来自不受您控制的 EC2 实例?
  • 如果是授权的 EC2 实例,则该活动是否与实例角色的正常行为相关联?是否存在涉及此实例的任何其他警报或可疑活动迹象?
  • 查看用户身份的 IAM 权限策略。
  • 如果您怀疑该帐户已被盗用,请通过跟踪该帐户在过去 24 小时内访问的服务器、服务和数据来确定可能已被盗用的资产范围。

误报分析

  • 由于服务的预期用途,可能会出现误报。需要进行调整才能获得更高的置信度。考虑添加例外情况 - 最好在用户代理和 IP 地址条件的组合下。
  • 依赖于此 API 请求结果的自动化工作流也可能会产生误报。我们建议添加与 user.nameaws.cloudtrail.user_identity.arn 值相关的例外情况以忽略这些情况。

响应和修复

  • 根据分类的结果启动事件响应流程。
  • 在调查和响应期间禁用或限制帐户。
  • 确定事件的可能影响并确定优先级;以下操作可以帮助您了解上下文
  • 识别云环境中的帐户角色。
  • 评估受影响的服务和服务器的关键程度。
  • 与您的 IT 团队合作,最大程度地减少对用户的影响。
  • 确定攻击者是否正在横向移动并破坏其他帐户、服务器或服务。
  • 确定与此活动相关的任何监管或法律后果。
  • 调查攻击者入侵或使用的系统上的凭据泄露情况,以确保识别所有被盗用的帐户。根据需要轮换密钥或删除 API 密钥,以撤销攻击者对环境的访问权限。在执行这些操作期间,请与您的 IT 团队合作,最大程度地减少对业务运营的影响。
  • 检查是否创建了未经授权的新用户,删除未经授权的新帐户,并为其他 IAM 用户请求密码重置。
  • 考虑为用户启用多重身份验证。
  • 查看分配给牵连用户的权限,以确保遵循最小权限原则。
  • 实施 AWS 概述的安全最佳实践。
  • 采取必要的措施使受影响的系统、数据或服务恢复到其正常运行级别。
  • 确定攻击者滥用的初始向量,并采取措施防止通过相同向量再次感染。
  • 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询编辑

event.dataset:"aws.cloudtrail" and event.provider:"sts.amazonaws.com" and event.action:"GetCallerIdentity"

框架:MITRE ATT&CKTM

« AWS SAML 活动 AWS STS GetSessionToken 滥用 »