T1087.004: Облачная учетная запись
Злоумышленники могут попытаться получить список облачных учетных записей. Облачные учетные записи создаются и настраиваются организацией для работы пользователей и служб, удаленной поддержки, а также администрирования ресурсов, предоставляемых поставщиком облачных сервисов или SaaS-приложением.
Аутентифицированным пользователям доступен ряд инструментов для поиска учетных записей. Командлет PowerShell Get-MsolRoleMember
может использоваться для получения имен пользователей, имеющих указанную роль (группу разрешений) в Microsoft 365. Интерфейс командной строки Azure (AZ CLI) также позволяет получить список учетных записей пользователей домена, прошедших аутентификацию. Команда az ad user list
выводит список всех пользователей домена.
В AWS команда aws iam list-users
выводит список пользователей текущей учетной записи, а aws iam list-roles
— список ролей IAM с определенным префиксом пути. В GCP команды gcloud iam service-accounts list
и gcloud projects get-iam-policy
выводят списки учетных записей служб и пользователей проекта.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительный LDAP-запрос, который может свидетельствовать о разведке в домене
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте в журналах действия по сбору информации об облачных учетных записях, включая вызовы облачных API для их изучения. Техники изучения системы и сети могут использоваться в некоторых штатных сетевых операциях, но чаще их применяют злоумышленники для ознакомления с особенностями среды. Поэтому рекомендуется рассматривать события и данные, связанные с изучением систем, не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте права на обнаружение облачных учетных записей по принципу минимальных привилегий. Организациям следует ограничить количество пользователей внутри организации, обладающих ролью IAM с административными привилегиями, а также стремиться реже наделять пользователей постоянной привилегированной ролью и проводить периодические проверки привилегий пользователей, ролей и политик IAM. |
---|
ID | M1047 | Название | Аудит | Описание | Регулярно проверяйте разрешения пользователей, чтобы убедиться, что возможность просматривать удостоверения IAM или иным образом получать информацию об облачных учетных записях имеют только те пользователи, которым это действительно необходимо. |
---|