利用 Amazon Detective 进行 IAM 调查

重点总结

本文详述如何使用 Amazon Detective 进行 IAM 用户和角色的安全事件调查。提供了三种不同的调查场景，包括自动调查、调查者视角和威胁狩猎者视角。介绍 Detective Investigation 功能，借助机器学习和威胁情报帮助识别安全事件中的可疑活动和潜在风险。

在进行 IAM 用户和角色的安全事件调查时，可能会面临复杂的挑战。安全分析师需从多个来源收集和分析数据，以确定受影响资源的整体情况。

Amazon Detective 提供了 Detective Investigation 功能，能够帮助您调查 IAM 用户和角色，从而确定资源是否参与了安全事件，并进行深入分析。它使用机器学习和威胁情报自动分析您在 Amazon Web Services (AWS) 环境中的资源，以识别潜在的妥协指标 (IoCs) 或可疑活动。这使得分析师能够识别模式，并找出哪些资源受到安全事件的影响，从而主动识别和减轻威胁。Detective Investigation 有助于判断 IAM 实体是否可能被利用或涉及已知的 战术、技术和程序 (TTPs)，这些内容来自广泛采用的 MITRE ATTampCK 框架，该框架用于安全和威胁检测。MITRE TTPs 描述了参与网络攻击的威胁行为者所使用的行为、过程、动作和战略。

在本文中，我将展示如何使用 Detective Investigation，以及如何解读和利用 IAM 调查提供的信息。

前提条件

以下是您阅读本文所需的前提条件：

拥有可访问的 AWS 管理控制台和激活的 AWS 账户。在同一 AWS 账户和AWS 区域中启用Amazon Detective 和 Amazon GuardDuty 。

使用 Detective Investigation 调查 IAM 用户和角色

开始调查之前，请登录到控制台。本节将介绍三种场景：

自动调查调查者视角威胁狩猎者视角

除了 Detective，某些场景还使用 Amazon GuardDuty，这是一项智能威胁检测服务。

场景 1：自动调查

在 Detective 中可进行自动调查。仅在您运行调查时，Detective 才会显示调查信息。您可以使用 Detective 控制台查看在一段时间内受到安全事件影响的 IAM 角色和用户数量。除此之外，您还可以使用 StartInvestigation API 启动补救工作流程或收集有关受牵连的 IAM 实体或被妥协的 AWS 资源的信息。

Detective 摘要仪表板如图 1 所示会自动显示您在一段时间内的关键调查、高级调查、以及发现的 IAM 角色和用户数量。 Detective Investigation 通过机器学习模型和威胁情报，仅展示最关键的问题，使您能够集中精力进行高层次的调查。它自动分析您 AWS 环境中的资源，以识别潜在的妥协指标或可疑活动。

要访问 Detective 控制台的仪表板，从导航面板选择 摘要。

注意： 如果您在 Detective 中没有列出自动调查，查看活动调查链接将不显示任何信息。要进行手动调查，请按照 运行 Detective 调查 中的步骤使用控制台或 API。

如果您有一个活动的自动调查，可以在 摘要 仪表板中选择 查看活动调查 以转到 调查 页面如图 2 所示，该页面显示 Detective 识别的潜在安全事件。您可以选择特定调查以查看调查报告摘要中的详细信息。

选择报告 ID 以查看其详细信息。图 3 显示选定事件的 妥协指标 详细信息，包括涉及的 AWS 角色、时间段、角色名称及推荐的缓解措施。妥协指标列表包括来自 MITRE ATTampCK 框架的观察到的战术、潜在妥协的 IP 地址标记如有、妨碍性旅行的指示以及发现组。您可以根据妥协指标列表中的每个项目的详细信息继续调查。

图 4 显示了选定调查的下半部分。Detective 将调查与 MITRE ATTampCK 框架中的 TTP 进行了映射。TTP 根据其严重性进行分类。控制台显示所使用的技术和行动。当选择特定的 TTP 时，您可以在右侧面板查看其详细信息。在此示例中，有效的云凭证在 34 次成功的 API 调用尝试中涉及 IP 地址。

场景 2：调查者视角

在此场景中，您已对与 GuardDuty 发现相关的资源进行了分类，告知您某个 IAM 用户或角色被识别为异常行为。您需要调查和分析此安全问题可能对其他资源造成的影响，并确保没有其他需要补救的情况。

该用例的示例从进入 GuardDuty 控制台开始，从导航面板选择 发现，选择一个 GuardDuty IAM 发现，然后选择 使用 Detective 调查 链接。

现在，让我们调查与 GuardDuty 发现相关的 IAM 用户。如图 6 所示，您有多种选项可切换到 Detective，包括 GuardDuty 发现本身、AWS 账户、角色会话以及内部和外部 IP 地址。

从 Detective 选项列表中，您可以选择 角色会话，这将帮助您调查在生成 GuardDuty 发现时正在使用的 IAM 角色会话。图 7 显示 IAM 角色会话页面。

在进入下一部分之前，您应向下滚动至屏幕右侧的 GuardDuty 发现详细信息面板中的 受影响资源，并记录 主体 ID。

角色会话由 IAM 角色及其相关的短期凭证实例化。角色会话涉及以下内容：

被假设的角色假设角色的实体IAM 用户或角色、联合用户或 Amazon Elastic Compute Cloud (Amazon EC2) 实例

在调查角色会话时，请考虑以下问题：

该角色的活动时间有多长？该角色是否常被使用？在这段使用过程中活动是否有所变化？该角色有没有被多个用户假设？是否有大批用户假设？窄用途角色会话可能会与大范围使用的角色会话引导您的调查方向不同。

您可以使用主体 ID 通过 Detective 搜索功能获得更深入的细节。图 8 显示了 IAM 角色详细信息的搜索结果。要使用搜索功能，请从导航面板选择 搜索，选择 角色会话 作为类型，输入确切标识符或带有通配符的标识符进行搜索。请注意，搜索是区分大小写的。

当选择假设角色链接时，将显示有关 IAM 角色的附加信息，以帮助验证该角色是否参与了可疑活动。

图 9 显示与该角色相关的其他发现。此信息是通过选择搜索结果中的 假设角色 链接显示的。

现在您应看到一张新屏幕，显示您选择的角色实体的特定信息。查看角色信息并收集对您调查此安全问题的重要证据。

该角色是否与其他发现相关联？在这期间是否出现了新观察的行为？与该角色相关的资源交互是什么？该角色拥有什幺权限？

在此场景中，您使用 Detective 调查了 IAM 角色会话。您收集的关于安全发现的信息将帮助您更好地了解需要补救的其他资源、如何进行补救、需要缩减的权限，以及为您的行动报告提供根本原因分析的见解。

场景 3：威胁狩猎者视角

另一个用例是援助于威胁狩猎搜索活动。在此场景中，您在组织内检测到可疑活动，您需要找到哪些资源即 IAM 实体与命令与控制 IP 地址进行了通信。您可以从 Detective 摘要页面查看 API 调用量最高的角色和用户，自动列出受到安全事件影响的 IAM 角色和用户，如图 10 所示。

从 主体角色或用户 选项列表中，选择您觉得有趣的用户或角色，基于所展示的数据。选择角色或用户时要考虑的事项：

是否有角色存在大量失败的 API 调用？是否有角色存在不寻常的数据趋势？

在选择 Detective 摘要 页面中的角色后，您将进入角色概述页面。向下滚动至 总体 API 调用量 部分，以查看该资源在选择的时间范围内发出的 API 调用总体量。Detective 以图形界面形式呈现此信息，无需创建复杂查询。

苹果免费加速器下载

在 总体 API 调用量 部分，选择底部的 显示时间范围的详细信息 按钮，以搜索观察出的 IP 地址、按服务按 API 方法以及资源。

要查看特定 IP 地址的详细信息，使用 总体 API 调用量 面板在不同位置之间进行搜索，以确定失败的 API 调用来自何处。选择一个 IP 地址以获取更具体的细节如图 13 所示。在浏览此信息时，要考虑这可能对您自己的环境意味着什幺。

您是否知道通常是谁在使用这个角色？这个角色的用途是什么？这个角色是否应当从不同的地理位置进行调用？

在此场景中，您使用 Detective 回顾了您环境中与可能被认定为恶意的信息相关的可疑活动。如果对手假设了相同的角色但使用了不同的会话名称，那么这将为您提供该 IAM 角色使用的更多信息。如果发现与可疑资源相关的信息，您应该按照内部事件响应计划进行正式搜索。

结论

在本文中，我向您展示了如何利用 Amazon Detective 调查 IAM 实体IAM 用户或角色。您看到不同的场景如何调查与安全事件相关的 IAM 实体。您还了解了 Detective 调查 IAM 功能，您可以使用该功能自动调查 IAM 实体的 妥协指标 (IOCs)，帮助安全分析师判断 IAM 实体是否可能受到损害或涉及已知的 TTP，内容来自于 MITRE ATTampCK 框架。

此功能无需额外收费，现在可供已有和新 Detective 客户在支持 Detective 的 AWS 区域 中使用。如果您尚未使用 Detective，可以 开始免费 30 天试用。有关 Detective 调查的更多信息，请参见 Detective Investigation。

如果您对本文有反馈，请在评论部分提交评论。如果您对本文有问题，请 联系 AWS 支持。

Ahmed AdekunleAhmed 是 AWS 中专注于检测和响应服务的安全专家解决方案架构师。在加入 AWS 之前，他的背景包括业务流程管理和 AWS 技术咨询，帮助客户利用云科技促进业务转型。在工作之外，Ahmed 喜欢踢足球、支持贫困地区的活动、旅行及品尝不同的美食，尤其是非洲菜肴。

标签 Amazon Detective、Amazon GuardDuty、AWS IAM、AWS 身份与访问管理 (IAM)、IAM、安全博客