罕见的 AWS 错误代码

一个机器学习作业检测到 CloudTrail 消息中存在一个不寻常的错误。这些可能是尝试或成功持久化、权限提升、防御规避、发现、横向移动或收集的副产品。

规则类型: machine_learning

规则索引: 无

严重程度: 低

风险评分: 21

运行频率: 15 分钟

搜索索引起始时间: now-2h (Date Math 格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

版本: 209

规则作者:

规则许可证: Elastic License v2

分类和分析

调查罕见的 AWS 错误代码

CloudTrail 日志记录提供了 AWS 环境内所采取操作的可视性。通过监视这些事件并了解组织内被认为是正常行为的操作，您可以在出现偏差时发现可疑或恶意活动。

此规则使用机器学习作业来检测 CloudTrail 消息中不寻常的错误。这可能是尝试或成功持久化、权限提升、防御规避、发现、横向移动或收集的副产品。

来自此规则的检测警报指示与 AWS API 命令或方法调用的响应关联的罕见和不寻常的错误代码。

可能的调查步骤

检查错误的历史记录。如果错误只是最近才出现，则可能与自动化模块或脚本的最新更改有关。您可以在 aws.cloudtrail.error_code field 字段中找到该错误。
调查过去 48 小时内与用户帐户关联的其他警报。
验证该活动是否与计划的补丁、更新或网络管理员活动无关。
检查请求参数。这些参数可能指示程序来源或发生错误时正在执行的任务的性质。
检查该错误是否与枚举或访问对象、数据或密钥的失败尝试有关。
考虑发出命令的用户的源 IP 地址和地理位置
对于调用用户来说，它们看起来正常吗？
如果源是 EC2 IP 地址，则它是否与您的某个帐户中的 EC2 实例关联，或者源 IP 是否来自不受您控制的 EC2 实例？
如果是授权的 EC2 实例，则该活动是否与实例角色或多个角色的正常行为相关联？是否存在涉及此实例的任何其他警报或可疑活动迹象？
考虑一天中的时间。如果用户是人（而不是程序或脚本），则该活动是否发生在正常的一天时间？
如果有可疑之处，请联系帐户所有者并确认他们是否知道此活动。
如果您怀疑该帐户已遭到入侵，请通过跟踪攻击者在过去 24 小时内访问的服务器、服务和数据来确定可能受到威胁的资产范围。

误报分析

检查命令的历史记录。如果该命令只是最近才出现，则它可能是新的自动化模块或脚本的一部分。如果它具有一致的节奏（例如，它以少量数量每周或每月出现），则它可能是内务处理或维护过程的一部分。您可以在 event.action field 字段中找到该命令。
采用新服务或向脚本添加新功能可能会产生误报。

相关规则

响应和补救

根据分类结果启动事件响应过程。
在调查和响应期间禁用或限制帐户。
确定事件可能造成的影响并相应地确定优先级；以下操作可以帮助您获取上下文
确定帐户在云环境中的角色。
评估受影响服务和服务器的关键性。
与您的 IT 团队合作，确定并尽量减少对用户的影响。
确定攻击者是否在横向移动并危及其他帐户、服务器或服务。
确定与此活动相关的任何法规或法律后果。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有受损帐户。根据需要重置密码或删除 API 密钥，以撤销攻击者对环境的访问权限。与您的 IT 团队合作，尽量减少这些操作对业务运营的影响。
检查是否创建了未经授权的新用户，删除未经授权的新帐户，并请求其他 IAM 用户重置密码。
考虑为用户启用多因素身份验证。
查看分配给相关用户的权限，以确保遵循最小特权原则。
实施 AWS 概述的安全最佳实践。
采取必要的操作，使受影响的系统、数据或服务恢复到其正常运行级别。
确定攻击者滥用的初始向量，并采取行动以防止通过同一向量再次感染。
使用事件响应数据，更新日志记录和审核策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

此规则需要安装关联的机器学习作业，以及来自 AWS 的数据。

异常检测设置

启用规则后，关联的机器学习作业将自动启动。您可以在检测规则的“定义”面板下查看链接的机器学习作业。如果作业因错误而无法启动，则必须解决该问题才能使作业成功开始。有关设置异常检测作业的更多详细信息，请参阅帮助指南。

AWS 集成设置

通过 AWS 集成，您可以使用 Elastic Agent 从 Amazon Web Services (AWS) 收集日志和指标。

应执行以下步骤，以便将 Elastic Agent 系统集成“aws”添加到您的系统