带有解密标志的 AWS Systems Manager SecureString 参数请求

带有解密标志的 AWS Systems Manager SecureString 参数请求编辑

检测用户身份首次使用 GetParameter 或 GetParameters API 操作访问 AWS Systems Manager (SSM) SecureString 参数，并在请求参数中使用凭据。这可能表明用户正在访问敏感信息。此规则检测用户何时访问 SecureString 参数并将 withDecryption 参数设置为 true。这是一个 [NewTerms](https://elastic.ac.cn/guide/en/security/current/rules-ui-create.html#create-new-terms-rule) 规则，用于检测在过去 10 天内首次出现特定 AWS ARN 访问带有解密的 SecureString 参数的情况。

规则类型：new_terms

规则索引:

filebeat-*
logs-aws.cloudtrail*

严重性：中等

风险评分: 47

运行频率：5 分钟

搜索的索引范围：now-9m（日期数学格式，另请参阅额外的回溯时间）

每次执行的最大警报数: 100

参考:

标签:

域：云
数据源：AWS
数据源：Amazon Web Services
数据源：AWS Systems Manager
策略：凭据访问
资源：调查指南

版本: 1

规则作者:

Elastic

规则许可证：Elastic 许可证 v2

调查指南编辑

分类和分析

调查带有解密标志的 AWS Systems Manager SecureString 参数请求

此规则检测 AWS 资源何时访问 AWS Systems Manager (SSM) 中的 SecureString 参数，并将解密标志设置为 true。SecureString 使用 KMS 密钥加密，使用解密访问这些参数可能表示尝试访问敏感数据。

攻击者可能会将 SecureString 作为目标，以检索敏感信息，例如加密密钥、密码和其他安全存储的凭据。启用解密访问这些参数尤其令人担忧，因为这意味着攻击者正试图绕过加密以获取可立即使用或泄露的明文值。此行为可能是更大攻击策略的一部分，该策略旨在提升权限或在环境中横向移动以访问受保护数据或关键基础设施。

可能的调查步骤

查看访问事件：识别触发规则的特定 API 调用（GetParameter 或 GetParameters）。检查 request_parameters 中是否将 withDecryption 设置为 true 以及访问的参数的名称。
验证用户身份和访问上下文：检查 user_identity 详细信息以了解谁访问了参数及其在组织中的角色。这包括检查 ARN 和访问密钥 ID 以确定访问是否已授权。
与用户行为进行关联：评估访问模式是否符合用户的正常行为或工作职责。调查事件发生前后是否存在任何异常活动。
分析地理和 IP 上下文：使用 source.ip 和 source.geo 信息，验证请求是否来自受信任的位置，或者是否存在任何表明帐户遭到入侵的异常情况。
检查相关的 CloudTrail 事件：在 CloudTrail 中查找其他相关事件，以查看此事件前后是否存在异常活动，例如异常登录尝试、权限更改或可能表明更广泛的未授权操作的其他 API 调用。

误报分析

合法的管理用途：验证解密 SecureString 参数是否是用户角色的常见做法，尤其是在自动化脚本或部署过程中（如涉及 Terraform 或类似工具的过程）中使用时。

响应和修复

立即验证：联系负责 API 调用的用户或团队，以验证他们的意图和授权。
查看和修改权限：如果访问未经授权，请查看分配给用户或角色的权限，以确保它们符合最小权限原则。
审核参数访问策略：确保管理 SecureString 参数访问的策略严格，并且启用审计日志以跟踪带有解密的访问。
事件响应：如果确认存在可疑活动，请按照组织的事件响应计划采取行动，以缓解任何潜在的安全问题。
增强的监控和警报：加强监控规则以检测对 SecureString 参数的异常访问，尤其是那些涉及解密的访问。

其他信息

此规则仅关注 AWS Systems Manager (SSM) 参数中的 SecureString。SecureString 使用 AWS 密钥管理服务 (KMS) 密钥加密。当用户访问 SecureString 参数时，他们可以指定是否应解密该参数。如果用户指定应解密该参数，则会在响应中返回解密后的值。

设置编辑

此规则要求将 AWS CloudTrail 日志摄取到 Elastic Stack 中。确保 AWS 集成配置正确以收集 AWS CloudTrail 日志。此规则还需要 AWS Systems Manager (SSM) API 操作的事件日志记录，可以在 CloudTrail 的数据事件设置中启用。

规则查询编辑

event.dataset: aws.cloudtrail
    and event.provider: "ssm.amazonaws.com"
    and event.action: (GetParameters or GetParameter)
    and event.outcome: success
    and aws.cloudtrail.request_parameters: *withDecryption=true*

框架：MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考 URL：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：从密码存储中获取凭据
- ID：T1555
- 参考 URL：https://attack.mitre.org/techniques/T1555/
子技术
- 名称：云密钥管理存储
- ID：T1555.006
- 参考 URL：https://attack.mitre.org/techniques/T1555/006/

« AWS 安全令牌服务 (STS) AssumeRole 使用 AWS VPC 流日志删除 »