› › ›

用户 AWS STS 角色承担

识别用户或角色在 AWS Security Token Service (STS) 中承担角色的情况。用户可以承担角色以获得临时凭证并访问 AWS 资源。攻击者可以使用此技术进行凭证访问和权限提升。这是一个 [新术语](https://elastic.ac.cn/guide/en/security/current/rules-ui-create.html#create-new-terms-rule) 规则，用于识别服务在 AWS Security Token Service (STS) 中承担角色以获取临时凭证和访问 AWS 资源的情况。虽然通常是合法的，但攻击者可能会使用此技术在 AWS 环境中进行未经授权的访问、权限提升或横向移动。

规则类型: new_terms

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引的时间范围: 无 (日期数学格式，另请参见 额外的回溯时间)

每次执行的最大告警数: 100

参考:

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

标签:

域：云
数据源：AWS
数据源：Amazon Web Services
数据源：AWS STS
资源：调查指南
用例：身份和访问审计
策略：权限提升

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查用户 AWS STS 角色承担

此规则检测用户在 AWS Security Token Service (STS) 中承担角色，接收临时凭证以访问 AWS 资源的情况。虽然此操作通常用于合法目的，但攻击者可能会利用它来获取未经授权的访问权限、提升权限或在 AWS 环境中横向移动。

可能的调查步骤

识别用户和承担的角色:
用户身份: 检查 aws.cloudtrail.user_identity.arn 和 aws.cloudtrail.user_identity.type 以获取有关 AssumeRole 操作发起者的详细信息。
承担的角色: 审查 aws.cloudtrail.flattened.request_parameters.roleArn 以确认承担的角色，并确保其与用户的标准权限一致。
会话名称: 记录 aws.cloudtrail.flattened.request_parameters.roleSessionName 以了解会话的目的。
评估会话上下文和凭证有效期:
会话详情: 查看 aws.cloudtrail.user_identity.session_context.creation_date 以获取会话的开始时间，并查看 aws.cloudtrail.user_identity.session_context.mfa_authenticated 以检查是否使用了 MFA。
凭证有效性: 检查 aws.cloudtrail.flattened.request_parameters.durationSeconds 以了解凭证的有效期。
过期时间: 使用 aws.cloudtrail.flattened.response_elements.credentials.expiration 来确认凭证过期时间。
检查用户代理和源信息:
用户代理: 分析 user_agent.original 字段，以识别是否使用了特定的工具或 SDK，如 AWS CLI、Boto3 或自定义代理。
源 IP 和地理位置: 检查 source.address 和 source.geo 字段以确定请求的来源，并确认它是否与预期的位置一致。
与相关事件关联:
识别模式: 审查相关的 CloudTrail 事件，了解不寻常的访问模式，例如在执行此 AssumeRole 操作后访问资源或进行敏感操作。
过滤高访问量的角色: 如果此角色或用户具有高访问量，请评估 roleArn 或 user_agent 值，查找常见模式，并将受信任的实体添加为例外。
审查承担的角色的权限:
权限: 检查与 roleArn 关联的权限，以评估其访问范围。
授权使用: 确认该角色是否经常用于管理目的，以及这是否与用户的常规职责一致。

误报分析

自动化流程和应用程序: 应用程序或计划任务可能会定期承担角色以进行操作。验证 user_agent 或 roleArn 与已知自动化工作流程的一致性。
标准 IAM 策略使用: 通过查看历史活动，确认用户或应用程序是否通常承担此特定角色以进行正常操作。

响应和补救

终止未经授权的会话: 如果角色承担被视为未经授权，请通过修改 IAM 策略或与承担的角色关联的权限来撤销会话。
加强监控和告警: 对特定的高风险角色（尤其是具有提升权限的角色）实施额外的监控。
定期管理例外: 定期审查高访问量角色和用户代理模式，以优化告警，通过将受信任的模式添加为例外来最大限度地减少噪声。
事件响应: 如果确认是恶意的，请遵循事件响应协议进行遏制、调查和补救。

其他信息

有关在环境中管理和保护 AWS STS 的更多详细信息，请参阅 AWS STS 文档。

规则查询

编辑

event.dataset: "aws.cloudtrail"
    and event.provider: "sts.amazonaws.com"
    and event.action: "AssumeRole"
    and event.outcome: "success"
    and aws.cloudtrail.user_identity.type: ("AssumedRole" or "IAMUser")

框架: MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称：滥用提升控制机制
- ID：T1548
- 参考 URL: https://attack.mitre.org/techniques/T1548/
策略
- 名称：横向移动
- ID：TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
技术
- 名称：使用替代身份验证材料
- ID：T1550
- 参考 URL: https://attack.mitre.org/techniques/T1550/
子技术
- 名称：应用程序访问令牌
- ID：T1550.001
- 参考 URL: https://attack.mitre.org/techniques/T1550/001/

« 服务 AWS STS 角色承担 AWS STS 角色链 »