用户的不寻常 AWS 命令
编辑用户的不寻常 AWS 命令
编辑一个机器学习作业检测到一个 AWS API 命令,该命令本身并非可疑或异常,而是由一个通常不使用该命令的用户上下文发出的。这可能是由于凭据或密钥被泄露,有人使用有效的账户来持久化、横向移动或泄露数据。
规则类型: machine_learning
规则索引: 无
严重性: 低
风险评分: 21
运行频率: 15 分钟
搜索索引起始时间: now-2h (Date Math 格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 域: 云
- 数据源: AWS
- 数据源: Amazon Web Services
- 规则类型: ML
- 规则类型: 机器学习
- 资源: 调查指南
版本: 209
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查用户的不寻常 AWS 命令
CloudTrail 日志记录提供了对 AWS 环境中采取的操作的可见性。通过监控这些事件并了解组织内被认为是正常行为的内容,您可以在发生偏差时发现可疑或恶意活动。
此规则使用机器学习作业来检测 AWS API 命令,该命令本身并非可疑或异常,而是由一个通常不使用该命令的用户上下文发出的。这可能是由于凭据或密钥被泄露,有人使用有效的账户来持久化、横向移动或泄露数据。
此规则的检测警报表明,对于调用的 IAM 用户来说,AWS API 命令或方法调用是罕见且不寻常的。
可能的调查步骤
- 确定所涉及的用户账户和执行的操作。验证它是否应该执行这种操作。
- 检查
aws.cloudtrail.user_identity.arn字段中的用户身份以及aws.cloudtrail.user_identity.access_key_id字段中的访问密钥 ID,这有助于确定精确的用户上下文。 user_agent.original字段中的用户代理详细信息也可以指示哪种客户端发出了请求。- 调查过去 48 小时内与该用户帐户关联的其他警报。
- 验证该活动是否与计划的补丁、更新或网络管理员活动无关。
- 检查请求参数。这些参数可能表明程序的来源或其任务的性质。
- 考虑发出命令的用户的源 IP 地址和地理位置
- 对于调用的用户来说,它们看起来是否正常?
- 如果源是 EC2 IP 地址,它是否与您账户中的一个 EC2 实例关联,或者源 IP 是否来自不受您控制的 EC2 实例?
- 如果它是授权的 EC2 实例,则该活动是否与该实例角色或角色的正常行为相关?是否存在涉及此实例的任何其他警报或可疑活动迹象?
- 考虑一天中的时间。如果用户是人类(而不是程序或脚本),则该活动是否发生在正常的一天中的时间?
- 如果可疑,请联系账户所有者并确认他们是否知道此活动。
- 如果您怀疑该帐户已被入侵,请通过跟踪过去 24 小时内该帐户访问的服务器、服务和数据来确定可能被入侵的资产范围。
误报分析
- 检查命令的历史记录。如果该命令仅在最近出现,则它可能是新的自动化模块或脚本的一部分。如果它具有一致的节奏(例如,它每周或每月以少量次数出现),则它可能是内务管理或维护过程的一部分。您可以在
event.action字段中找到该命令。
相关规则
- AWS 命令的不寻常城市 - 809b70d3-e2c3-455e-af1b-2626a5a1a276
- AWS 命令的不寻常国家/地区 - dca28dee-c999-400f-b640-50a081cc0fd1
- 罕见的 AWS 错误代码 - 19de8096-e2b0-4bd8-80c9-34a820813fff
- AWS 错误消息的激增 - 78d3d8d9-b476-451d-a9e0-7a5addd70670
响应和补救
- 根据分类结果启动事件响应流程。
- 在调查和响应期间禁用或限制该帐户。
- 确定事件的可能影响并相应地确定优先级;以下操作可以帮助您获取上下文
- 确定云环境中帐户的角色。
- 评估受影响的服务和服务器的严重性。
- 与您的 IT 团队合作,确定并尽量减少对用户的影响。
- 确定攻击者是否正在横向移动并入侵其他帐户、服务器或服务。
- 确定与此活动相关的任何监管或法律后果。
- 调查攻击者入侵或使用的系统上的凭据泄露情况,以确保识别出所有被入侵的帐户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。与您的 IT 团队合作,尽量减少这些操作期间对业务运营的影响。
- 检查是否创建了未经授权的新用户,删除未经授权的新帐户,并请求其他 IAM 用户重置密码。
- 考虑为用户启用多因素身份验证。
- 审查分配给受牵连用户的权限,以确保遵循最小特权原则。
- 实施 AWS 概述的安全最佳实践。
- 采取必要措施,使受影响的系统、数据或服务恢复到其正常运行水平。
- 确定攻击者滥用的初始向量,并采取行动以防止通过同一向量重新感染。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑设置
此规则需要安装关联的机器学习作业,以及来自 AWS 的数据。
异常检测设置
启用规则后,关联的机器学习作业将自动启动。您可以在检测规则的“定义”面板下查看链接的机器学习作业。如果作业因错误而未启动,则必须解决该问题才能使作业成功开始。有关设置异常检测作业的更多详细信息,请参阅帮助指南。
AWS 集成设置
通过 AWS 集成,您可以使用 Elastic Agent 从 Amazon Web Services (AWS) 收集日志和指标。
应执行以下步骤以将 Elastic Agent 系统集成“aws”添加到您的系统中
- 转到 Kibana 主页,然后单击“添加集成”。
- 在查询栏中,搜索“AWS”并选择集成以查看有关它的更多详细信息。
- 单击“添加 AWS”。
- 配置集成名称,并可选择添加描述。
- 相应地查看可选和高级设置。
- 将新安装的“aws”添加到现有或新的代理策略,并在您希望获取 aws 日志文件的系统上部署代理。
- 单击“保存并继续”。
- 有关集成的更多详细信息,请参阅帮助指南。