详细内容或原文请订阅后点击阅览
Cloud Console Cartographer:开源工具可帮助安全团队转录日志活动
Cloud Console Cartographer 是一个开源工具,它将嘈杂的日志活动映射到高度整合、简洁的事件中,以帮助安全从业人员消除噪音并了解其环境中的控制台行为。 “基础设施即代码已经取代了许多组织对控制台访问的需求,但仍有许多使用控制台的情况,在某些情况下,您需要使用 AWS 控制台执行...更多 →Cloud Console Cartographer:开源工具可帮助安全团队转录日志活动首先出现在 Help Net Security 上。
来源:Help Net Security _云安全Cloud Console Cartographer 是一款开源工具,可将嘈杂的日志活动映射到高度整合、简洁的事件中,以帮助安全从业人员消除噪音并了解其环境中的控制台行为。
“基础设施即代码已经取代了许多组织对控制台访问的大量需求,但仍有大量实例仍在使用控制台,在某些情况下,您需要使用 AWS 控制台执行某些操作。 Cloud Console Cartographer 消除了这些控制台会话在日志中产生的噪音,”Permiso 的首席威胁研究员 Daniel Bohannon 告诉 Help Net Security。
Daniel Bohannon当用户访问 AWS 控制台并单击 IAM → 用户时,该单一操作会创建 300 多个 CloudTrail 事件。 CloudTrail 中显示的控制台事件是 API 调用,最终填充用户界面中显示的内容。因此,控制台会话可以包含比实际输入或操作(例如单击 IAM 主页)多得多的事件,并且这些事件从未明确与用户的操作相关联。
查看这些日志,您可能会在 CloudTrail 中看到 iam:ListMFADevices 或 iam:ListAccessKeys 等事件。这可能会令人困惑,因为此用户未在 UI 中采取任何操作来列出 MFA 设备或访问密钥。此用户单击了 IAM 主页,从而触发了这些事件以在控制台 UI 中填充该信息。
iam:ListMFADevices iam:ListAccessKeys安全专业人员只能尝试区分用户明确调用的 API 调用和创建事件以支持控制台 UI 中正在执行的行为或操作的次要 API 调用。已经观察到威胁行为者利用控制台和其他 UI,他们知道这些日志数据对事件响应者和蓝队成员来说是多么令人困惑。
Cloud Console Cartographer 可在 GitHub 上免费使用。
GitHub必读:
必读: