› › ›

用户异常 AWS 命令

用户异常 AWS 命令编辑

机器学习作业检测到一条 AWS API 命令，虽然本身并不可疑或异常，但该命令是由通常不会使用该命令的用户上下文发出的。这可能是由于某人使用有效帐户来持久化、横向移动或窃取数据，导致凭据或密钥遭到入侵。

规则类型：machine_learning

规则索引：无

严重性：低

风险评分: 21

每隔：15 分钟运行一次

从以下时间开始搜索索引：now-2h（日期数学格式，另请参见 附加回溯时间）

每次执行的最大警报数: 100

参考:

标签:

版本: 209

规则作者:

规则许可证：Elastic 许可证 v2

分类和分析

调查用户执行的异常 AWS 命令

CloudTrail 日志记录提供了对 AWS 环境中执行的操作的可见性。通过监控这些事件并了解组织中的正常行为，您可以在出现偏差时发现可疑或恶意活动。

此规则使用机器学习作业来检测 AWS API 命令，虽然此命令本身并不可疑或异常，但它是由通常不使用此命令的用户上下文发出的。这可能是由于有人使用有效帐户来持久化、横向移动或窃取数据，从而导致凭据或密钥遭到破坏。

此规则的检测警报指示对调用 IAM 用户来说罕见且异常的 AWS API 命令或方法调用。

可能的调查步骤

识别涉及的用户帐户和执行的操作。验证它是否应执行此类操作。
检查 aws.cloudtrail.user_identity.arn 字段中的用户身份和 aws.cloudtrail.user_identity.access_key_id 字段中的访问密钥 ID，这有助于识别精确的用户上下文。
user_agent.original 字段中的用户代理详细信息也可能指示发出请求的客户端类型。
调查过去 48 小时内与用户帐户关联的其他警报。
验证该活动与计划的修补程序、更新或网络管理员活动无关。
检查请求参数。这些参数可能指示程序的来源或其任务的性质。
考虑发出命令的用户的源 IP 地址和地理位置
它们对于调用用户来说是否正常？
如果源是 EC2 IP 地址，它是否与您帐户中的 EC2 实例相关联，或者源 IP 是否来自不受您控制的 EC2 实例？
如果它是一个授权的 EC2 实例，该活动是否与实例角色或角色的正常行为相关联？是否还有其他警报或迹象表明此实例涉及可疑活动？
考虑一天中的时间。如果用户是人（不是程序或脚本），该活动是否发生在一天中的正常时间？
如果可疑，请联系帐户所有者并确认他们是否知道此活动。
如果您怀疑帐户已被破坏，请通过跟踪帐户在过去 24 小时内访问的服务器、服务和数据来确定范围内的潜在受损资产。

误报分析

检查命令的历史记录。如果该命令只是最近才出现，它可能是新自动化模块或脚本的一部分。如果它具有稳定的节奏（例如，它以每周或每月的节奏少量出现），它可能是整理或维护过程的一部分。您可以在 event.action field 字段中找到该命令。

相关规则

响应和补救

根据分类结果启动事件响应流程。
在调查和响应期间禁用或限制帐户。
识别事件的可能影响并相应地确定优先级；以下操作可以帮助您获得上下文
识别云环境中的帐户角色。
评估受影响服务和服务器的关键性。
与您的 IT 团队合作以识别和最大程度地减少对用户的影响。
识别攻击者是否正在横向移动并危害其他帐户、服务器或服务。
识别与该活动相关的任何监管或法律后果。
调查攻击者危害或使用的系统上的凭证泄露，以确保识别出所有受危害的帐户。根据需要重置密码或删除 API 密钥以撤销攻击者对环境的访问权限。在执行这些操作期间，与您的 IT 团队合作以最大程度地减少对业务运营的影响。
检查是否创建了未经授权的新用户，删除未经授权的新帐户，并为其他 IAM 用户请求密码重置。
考虑为用户启用多重身份验证。
检查分配给相关用户的权限，以确保遵循最小权限原则。
实施 AWS 概述的安全最佳实践。
采取必要的措施，使受影响的系统、数据或服务恢复到正常操作级别。
识别攻击者滥用的初始媒介，并采取措施通过同一媒介防止重新感染。
使用事件响应数据，更新日志记录和审计策略，以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置

此规则需要安装关联的机器学习作业，以及来自 AWS 的数据。

异常检测设置

启用规则后，关联的机器学习作业将自动启动。您可以在检测规则的“定义”面板下查看链接的机器学习作业。如果作业因错误而未启动，则必须解决该问题才能成功启动作业。有关设置异常检测作业的更多详细信息，请参阅帮助指南。

AWS 集成设置

AWS 集成允许您使用 Elastic Agent 从 Amazon Web Services (AWS) 收集日志和指标。

应按以下步骤操作，将 Elastic Agent 系统集成“aws”添加到您的系统