AWS STS GetSessionToken 滥用

编辑

AWS STS GetSessionToken 滥用编辑

识别可疑的 GetSessionToken 使用。攻击者可以创建和使用令牌来横向移动和提升权限。

规则类型：查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性：低

风险评分: 21

运行频率：5 分钟

搜索索引范围：无（日期数学格式，另请参阅额外回溯时间）

每次执行的最大警报数: 100

参考资料:

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html

标签:

域：云
数据源：AWS
数据源：Amazon Web Services
数据源：AWS STS
用例：身份和访问审核
战术：权限提升

版本: 206

规则作者:

Austin Songer

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要 AWS Fleet 集成、Filebeat 模块或类似的结构化数据。

规则查询编辑

event.dataset:aws.cloudtrail and event.provider:sts.amazonaws.com and event.action:GetSessionToken and
aws.cloudtrail.user_identity.type:IAMUser and event.outcome:success

框架：MITRE ATT&CK^TM

战术
- 名称：权限提升
- ID：TA0004
- 参考 URL：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：滥用权限控制机制
- ID：T1548
- 参考 URL：https://attack.mitre.org/techniques/T1548/
战术
- 名称：横向移动
- ID：TA0008
- 参考 URL：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：使用备用身份验证材料
- ID：T1550
- 参考 URL：https://attack.mitre.org/techniques/T1550/
子技术
- 名称：应用程序访问令牌
- ID：T1550.001
- 参考 URL：https://attack.mitre.org/techniques/T1550/001/

« 首次调用 AWS STS GetCallerIdentity API AWS 安全组配置更改检测 »