Amazon AWS

使用 IBM 安全性 QRadar Amazon AWS 的自定义属性来密切监控您的 Amazon AWS 部署。

重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。

IBM Security QRadar Amazon AWS

IBM Security QRadar Amazon AWS 5.1.0

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 5.1.0中新增的定制属性。

表 1. IBM Security QRadar Amazon AWS 5.1.0
定制属性 已优化 表达式
警报严重性 severity:"(.*?)"
类名 class_name:"([^\"]*?)"
设备名 name:"(.*?)"
Email email_addr:"([^\"]*?)"
主机状态 status_details:"(.*?)"
消息 message:"([^"]*?)"
方法 http_method:"(.*?)"
策略名称 'policy:\{"(.*?)"\}
响应代码 http_response:\{"code":(\d+)\}
服务名称

svc_name:"([^"]*?)"

svc_name:"(.*?)"
状态代码 status_code:"(.*?)"
状态标识 status_id:"(.*?)"
类型

type:"([^\"]*?)"

type_name:"([^\"]*?)"
URL 主机 hostname:"([^"]*?)"
用户代理 user_agent:"([^"]*?)"
供应商 vendor_name:"(.*?)"

(返回到顶部)

IBM Security QRadar Amazon AWS 5.0.1

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 5.0.1中新增的定制属性。

表 2. IBM Security QRadar Amazon AWS 5.0.1
定制属性 已优化 捕获组 JSON 表达式
概要文件 不适用

/"requestParameters"/"instanceProfileName"

/"requestParameters"/"iamInstanceProfile"/"name"

源主机 定制属性类型已更改为 "字符串"。

已除去所有规则,报告和已保存的搜索,并将其添加到 IBM Security QRadar Content Extension for Hybrid Cloud 用例。

(返回到顶部)

IBM Security QRadar Amazon AWS 5.0.0

下表显示了在 IBM Security QRadar Custom Properties for Amazon AWS 5.0.0 中更新以用于 AWS Network Firewall DSM 的定制属性。

表 3. IBM 安全性 QRadar Amazon 的定制属性 AWS 5.0.0 中的定制属性
定制属性 已优化 捕获组 正则表达式
操作 1 操作 ":" (. *?) "
字节数 1 字节 ": (\d +)
1 pkts ": (\d +)
签名标识 1 signature_id ": (\d +)
违例特征符 1 签名 ":" (. *?) "

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 5.0.0中新增或更新的规则。

表 4。 IBM 安全性 QRadar Amazon 的定制属性 AWS 5.0.0 中的规则
名称 描述
AWS 云: 检测到从不同地理位置成功登录到 AWS 控制台 检测同一用户名是否将从不同源地理位置登录到 Amazon AWS 管理控制台,这可能指示共享或被盗凭证。
AWS Cloud: 来自不同源 Ips 的多个控制台登录失败 在 2 分钟内,从不同的源 IP 地址查找到 AWS Console 的登录失败次数 (25 次)。
AWS Cloud: 来自同一源 IP 的多个控制台登录失败 检测 AWS 管理控制台的登录失败,并在 2 分钟内从同一源 IP 地址至少发生 5 个登录失败时触发攻击

(返回到顶部)

IBM Security QRadar Amazon AWS 4.1.0

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 4.1.0中新增或更新的定制属性。

表 5。 IBM Security QRadar Amazon AWS 4.1.0
定制属性 已优化 捕获组 正则表达式
请求 URI 1 \buri [":] +" ([^ "] *)"
用户代理 1 \buser-agent [",] + value [":] + "([^"] *) "is now (?i) \buser-agent [" ,] + value [":] +" ([^ "] *)"

(返回到顶部)

IBM Security QRadar Amazon AWS 4.0.0

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 4.0.0中新增或更新的定制属性。

表 6。 IBM Security QRadar Amazon AWS 4.0.0
定制属性 已优化 捕获组 正则表达式或 JSON 表达式
访问密钥标识   \bType":\s*?"AwsIamAccessKey",.*?"Id":\s*?"([^\"]*?)"
帐户标识 1 /"详细信息"/"调查结果"[0]/"AwsAccountId"

\baccount_id [":] + ([^"] *) "
操作 1 /"细节"/"发现"[0]/"ProductFields"/"action/actionType"

\bfirewall_rule_action [\" \:] + ([^ \"] +)
警报严重性   /"详细信息"/"调查结果"[0]/"ProductFields"/"aws/securityhub/SeverityLabel"
API 路径   /"detail"/"findings"[0]/"ProductFields"/"action/awsApiCallAction/api""产品字段
DNS 请求类型 1 \bquery_type [":] + ([^"] *) "

(? :Z [\s \t] [a-zA-Z0-9] + [\s \t] [^ \s] + [\s \t]) (\w +)
1 \bquery_name [":] + ([^"] *) "

(? :Z [\s \t] [a-zA-Z0-9] + [\s \t]) ([^ \s] +)
域列表 1 \bfirewall_domain_list_id [\" \:] + ([^ \"] +)
GroupID 1 \bfirewall_rule_group_id [\" \:] + ([^ \"] +)
图像标识   /"详细信息"/"发现"[0]/"资源"[0]/"Details"/"AwsEc2Instance"/"ImageId"
实例大小类型   /"详细信息"/"发现"[0]/"资源"[0]/"Details"/"AwsEc2Instance"/"Type"
实例标识 1 \binstance [\" \:] + ([^ \"] +)
IP 协议 1 (? :Z [\s \t] [a-zA-Z0-9] + [\s \t] [^ \s] + [\s \t] \w + [\s \t] \w + [\s \t]) (\w +)

\btransport [":] + ([^"] *) "
机器标识   /"detail"/"审计结果" [0]/"Resources" [0]/"Id"
消息   /"detail"/"结果" [0]/"标题"
MessageID   /"detail"/"结果" [0]/"Id"
方法 1 \bhttpMethod[":]+"([^"]*)"
始发主机 1 \bsrcaddr [":] + ([^"] *) "
区域 1 /"区域"

\bregion [":] + ([^"] *) "
请求目标 1 \bsec-fetch-dest [",] + value [":] + "([^"] *) "
请求方式 1 \bsec-fetch-mode [",] + value [":] + "([^"] *) "
请求站点 1 \bsec-fetch-site [",] + value [":] + "([^"] *) "
请求 URI 1 \buri [":] +" ([^ "] *)"
响应代码 1 \brcode [":] + ([^"] *) "

(? :Z [\s \t] [a-zA-Z0-9] + [\s \t] [^ \s] + [\s \t] \w + [\s \t]) (\w +)
源国家或地区 1 \bcountry [":] +" ([^ "] *)"
子网标识   /"详细信息"/"发现"[0]/"资源"[0]/"Details"/"AwsEc2Instance"/"SubnetId"
用户代理 1 \buser-agent [",] + value [":] + "([^"] *) "
VPC 标识 1 /"详细信息"/"发现"[0]/"资源"[0]/"Details"/"AwsEc2Instance"/"VpcId"

\bvpc_id [":] + ([^"] *) "

IBM Security QRadar Custom Properties for Amazon AWS 4.0.0中除去了以下参考集。

  • AWS -管理组
  • AWS -管理员角色
  • AWS -管理用户
  • AWS -临界 EC2 实例标识
  • AWS -实例映像标识
  • AWS -标准用户
  • AWS -VPC 标识

IBM Security QRadar Custom Properties for Amazon AWS 4.0.0中除去了以下规则。

  • AWS Cloud: Network ACL 更改 
  • AWS 云: 已除去签名证书 
  • AWS Cloud: EC2 实例已从非标准 Amazon 机器映像 (AMI) 创建 Been 
  • AWS Cloud: EC2 实例已在非标准 VPC 中创建,或者在没有 VPC 的情况下创建
  • AWS Cloud: 云活动 (按 root 用户排列) 
  • AWS Cloud: 关键 EC2 实例已停止或已终止
  • AWS Cloud: 已创建或删除组
  • AWS Cloud: 密钥对管理配置更改
  • AWS Cloud: 来自不同源 Ips 的多个失败 API 请求
  • AWS Cloud: 网关更改
  • AWS Cloud: 密码策略已更新 
  • AWS Cloud: 路由表更改
  • AWS 云: S3 存储区由非标准用户访问
  • AWS 云: 已创建 S3 存储区
  • AWS 云: 已删除 S3 存储区
  • AWS 云: S3 存储区策略更改 
  • AWS Cloud: 安全组配置更改
  • AWS Cloud: 用户已添加到具有管理角色功能的组
  • AWS Cloud: 用户概要文件已更新
  • AWS Cloud: 没有管理员权限的用户访问管理员角色
  • AWS Cloud: VPC 配置更改 

IBM Security QRadar Custom Properties for Amazon AWS 4.0.0中除去了以下搜索。

  • AWS S3 创建的存储区

IBM Security QRadar Custom Properties for Amazon AWS 4.0.0中除去了以下报告。

  • AWS S3 创建的存储区-每月
  • AWS S3 创建的存储区-每周
  • AWS S3 存储区已删除-每月
  • AWS S3 存储区已删除-每周

(返回到顶部)

IBM Security QRadar Amazon AWS 3.0.0

IBM Security QRadar Custom Properties for Amazon AWS 3.0.0 添加要与 Amazon Elastic Kubernetes Service配合使用的定制属性。

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 3.0.0中新增或更新的定制属性。

表 7。 IBM Security QRadar Amazon AWS 3.0.0
定制属性 已优化 捕获组 正则表达式
API 路径 1 /"requestURI"
容器映像 1 /"requestObject"/"spec"/"containers"[0]/"image"
容器名称 1 /"requestObject"/"spec"/"containers"[0]/"name"
MessageID 1 /"auditID"
名称空间 1 /"objectRef"/"namespace"

objectRef[":{]+resource[":]+namespaces+[":]+,["]+name":"(.*?)"
特权容器 1 securityContext[":{]+privileged[":]+(true)
特权容器名称 1 securityContext[":{]+privileged[":]+true}+,[":{]+name":"(.*?)"
进程命令行 1 命令 = (. *?) 容器 =
原因 1 /"responseStatus"/"reason"
资源 1 /"objectRef"/"resource"
资源名称 1 /"objectRef"/"name"
角色 1 /"requestObject"/"roleRef"/"name"
角色操作 1 /"requestObject"/"rules"[0]/"verbs"[]
角色分配的资源 1 /"requestObject"/"rules"[0]/"resources"[]
源安装点 1 volumeMounts":[{.*?"mountPath[":]+([^"]+)
目标用户名 1 "subject": [{. *? "name": "([^"] +) "
用户代理 1 /"userAgent"

(返回到顶部)

IBM Security QRadar Amazon AWS 2.0.0

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 2.0.0中新增或更新的定制属性。

表 8。 IBM Security QRadar Amazon AWS 2.0.0
定制属性 已优化 捕获组 正则表达式
操作 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + \d + \s +. * ?\s "(. *?)" \s
BytesReceived 1 \s (\d +) \s (\d +) \s " (? :GET | POST | CONNECT | TUNNEL | HEAD | PUT | DELETE | OPTIONS | TRACE | PATCH)
BytesSent 1 \s (\d +) \s " (? :GET | POST | CONNECT | TUNNEL | HEAD | PUT | DELETE | OPTIONS | TRACE | PATCH)
证书 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s. * ?\s". * ?" \s ". * ?" \s" (. *?) " \s
密码 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s (. *?) \s
分类 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + \d + \s +. * ?\s + ". * ?" \s + ". * ?" \s + ". * ?" \s +. * ?\s + ". * ?" \s + "(. *?)" \s +
错误代码 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + \d + \s +. * ?\s + ". * ?" \s +". * ?" \s + "(. *?)" \s +
结果标识 1 detail ":. * ?id": "(. *?)"
组名 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s (. *?) \s
方法 1 (GET | POST | CONNECT | TUNNEL | HEAD | PUT | DELETE | OPTIONS | TRACE | PATCH)
原因 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + \d + \s +. * ?\s + ". * ?" \s + ". * ?" \s + ". * ?" \s +. * ?\s + ". * ?" \s + ". * ?" \s +" (. *?) "
重定向 URI 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + \d + \s +. * ?\s + ". * ?" \s + "(. *?)" \s +
资源标识 1 (?:http|https|h2|grpcs|ws|wss) \s +. * ?\s (. *?) \s
响应代码 1 \s (\d +) \s (\d +) \s (\d +) \s (\d +) \s " (? :GET | POST | CONNECT | 隧道 | HEAD | PUT | DELETE | OPTIONS | TRACE | PATCH)
规则标识 1 (? :http|ftp|tcp|ssl|https). * ?\". * \" \s +. * ?\s + (\d +) \s
TLS 或 SSL 协议级别 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s (. *?) \s
事务标识 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s. * ?\s" (. *?) " \s
URL 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH) \s ([^ \; \s] +)
UrlHost 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s ". * ?" \s. * ?\s. * ?\s". * ?" \s "(. *?)" \s
用户代理 1 (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE|OPTIONS|TRACE|PATCH). * ?\" \s" (. *?) "

(返回到顶部)

IBM Security QRadar Amazon AWS 1.4.0

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.4.0中新增或更新的定制属性。

表 9。 IBM Security QRadar Amazon AWS 1.4.0
定制属性 已优化 捕获组 正则表达式或 JSON
访问密钥标识   /"userIdentity"/"accessKeyId"
警报严重性 1 "severity": (\d +)
审计标志   /"requestParameters"/"setAsDefault"
机器标识 1 instanceId\"\:\s*\"([^\"]+)
已用 MFA   /"additionalEventData"/"MFAUsed"
角色名 1 \buserType":"AssumedRole","userName":"(.*?)"

假定角色 \/ (. *?) \/

\bdisassociating.*?iamInstanceProfile".*?arn":".*?\/(.*?)"

/"requestParameters"/"AssociateIamInstanceProfileRequest"/"IamInstanceProfile"/"Name"
目标访问密钥标识   /"responseElements"/"credentials"/"accessKeyId"
卷标识   /"requestParameters"/"volumeId"

已除去 组帐户名称 定制属性。

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.4.0中新增或更新的参考数据。

表 10. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.4.0 中的参考数据
类型 名称 描述
引用集 AWS -审计事件 已更新以修复由于缺少元素而中断的链接。
引用集 AWS -VPC 事件 已更新以修复由于缺少元素而中断的链接。

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.4.0中新增或更新的已保存搜索。

表 11. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.4.0 中的已保存搜索
名称 描述
已创建S3 存储区 已更新为在搜索过滤器中使用规则而不是事件。
已删除S3 存储区 已更新为在搜索过滤器中使用规则而不是事件。

所有已保存的搜索都将更新为使用 "源地址" 或 "目标地址" 而不是 "源 IP" 或 "目标 IP"。

(返回到顶部)

IBM Security QRadar Amazon AWS 1.3.0

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.3.0中新增或更新的定制属性。

表 12. IBM Security QRadar Amazon AWS 1.3.0
定制属性 已优化 捕获组 正则表达式
AccountID 1 "accountId":\s+"(\d*?)",
已阻止 1 "blocked": \s + ([a-z] +)
组名 1 "groupName":\s+"(.*?)"
GroupID 1 "groupId":\s+"(.*?)"
图像标识 1 "imageId":\s+"(.*?)",
实例大小类型 1 "instanceType":\s+"(.*?)",
实例状态 1 "instanceState":\s+"(.*?)",
InstanceID 1 "instanceId":\s+"(.*?)"
消息 1 "title": \s + "(. *?)"
区域 1 "region": \s + "(. *?)" ,
资源标识 1 "partition":. + "id": \s + "(. *?)" ,\s + "arn":
资源角色 1 "resourceRole":\s+"(.*?)"
威胁名称 1 "threatName":\s+"(.*?)",
UserType 1 "userType":\s+"(.*?)",
VPC 标识 1 "vpcId":\s+"(.*?)"

(返回到顶部)

IBM Security QRadar Amazon AWS 的定制属性 1.2.7

UserAdded 定制属性已与 目标用户名 定制属性合并。 AWS 用户帐户已创建 保存的搜索现在使用 目标用户名 定制属性。

帐户标识 定制属性类型已设置为 AlphaNumeric。

(返回到顶部)

IBM Security QRadar Amazon AWS 1.2.6

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.6中新增或更新的定制属性。

表 13. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.2.6 中的定制属性
定制属性 已优化 已启用 正则表达式 事件名称
机器标识 instanceId":\s*"([^"]+)  
公共许可权 \/groups \/global. * ?"} , "Permission" :\s* \" (FULL_CONTROL | READ | WRITE_ACP) \" 放置对象 ACL

放置存储区 ACL
角色名 "policyArn":".?/(.?)" 附加用户策略
目标用户名 "invokedBy":"(.*?)"

"userName":"(.*?)"

 附加用户策略

(返回到顶部)

IBM Security QRadar Amazon AWS 1.2.5

下表显示了在 IBM Security QRadar Custom Properties for Amazon AWS 1.2.5中更新的定制属性。

表 14. 更新了 IBM Security QRadar Amazon AWS 1.2.5
定制属性 已优化 已启用 正则表达式 事件名称
文件名 键 ":" ([^ \"] +) 放置对象 ACL

IBM Security QRadar Custom Properties for Amazon AWS 1.2.5 中的已保存搜索将与所有人共享。

(返回到顶部)

IBM Security QRadar Amazon AWS 1.2.4

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.4中新增或更新的定制属性。

表 15. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.2.4 中的定制属性
名称 已优化 捕获组 正则表达式
AccountID

1

1

 accountId=(.*?)\t

\"accountId\"\:\"(\d*?)\"
环境类型 1 \"eventType\":\"(.*?)\"
文件扩展名 1 key \" \:\" [^ \"] + \. ([^ \"] +)
文件名 1 键 ":" ([^ \"] +)
实例状态 1 \"instanceState\":\{\"code\":(\d+),
公共许可权 1 \/groups. * ?"} , "Permission" :\s* \" (FULL_CONTROL | READ | WRITE_ACP) \"
区域 1

awsRegion=(.*?)\t
资源标识 1 \"resourceId\":\"(.*?)\"
存储器名称 1 \"bucketName\":\"(.*?)\"
用户代理

1

1

 \"userAgent\":\"(.*?)\"

userAgent=(.*?)\t
UserType 1 userIdentity.type = (. *?) \t
VPC 标识 1 vpcId=(.*?)\t

(返回到顶部)

IBM Security QRadar Amazon AWS 1.2.3

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.3中新增或更新的定制属性。

表 16. IBM Security QRadar Amazon AWS 1.2.3
名称 捕获组 正则表达式
InstanceID 1 instanceId\"\:\s*\"([^\"]+)
目标用户名 1 requestParameters[\"\:\{\.]*userName[\"\:]*([^\"]+)
策略名称 1

1

 policyName\"\:\"([^\"]+)

policyArn\"\:\"([^\"]+)
错误代码 1

1

1

 \"errorCode\":\"([^\"]+)

\"ConsoleLogin\"\:\"([^\"]+)

"errorMessage":"([^\"]+)
活动类型 1 eventType=(.*?)\t
EventName 1 "eventName"\:\"([^\"]+)
UserType 1 "type": " ([^ \"] +)

在此发行版中除去了 用户策略名称 定制属性。

操作 定制属性已重命名为 错误代码

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.3中新增或更新的规则。

表 17. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.2.3 中的规则
名称 描述
AWS 云: 已除去签名证书 已更新摘要。
AWS Cloud: EC2 实例已在非标准 VPC 或无 VPC 中创建 已更新规则描述。
AWS Cloud: EC2 实例已从非标准 Amazon 机器映像 (AMI) 创建 已更新规则名称和规则响应。
AWS Cloud: 云活动 (按 root 用户排列) 更新了规则索引,并添加了响应限制器。
AWS Cloud: EC2 实例已创建具有大型规范的 Been 用于称为 AWS Cloud: 大型实例正在运行

添加了以下规则测试:

and when the event matches "Instance Size Type" in ('m5.4xlarge','m5.12xlarge','m5.24xlarge','m4.4xlarge',
'm4.10xlarge','m4.16xlarge','c5d.4xlarge','c5d.9xlarge',
'c5d.18xlarge') AQL filter query
AWS Cloud: 来自不同源 IP 的多个控制台登录失败 更新了规则名称和测试,并更改了规则索引。
AWS Cloud: 来自同一源 IP 的多个控制台登录失败 已更新规则名称和测试。
AWS Cloud: 从不同地理位置检测到成功登录到 AWS 控制台 用于称为 AWS Cloud: 多重登录尝试来自不同地理位置的 AWS 控制台

更新了规则名称和测试,并更改了规则索引。
AWS 云: 检测到对 AWS 跟踪日志记录配置的更改 已更新规则名称。
AWS 云: 日志已删除/已禁用或已停止 用于称为 AWS Cloud: 已删除云跟踪

更新了规则名称并添加了以下相关事件:

  • (88750492) 禁用日志记录
  • (88750787) 停止日志记录
  • (88750873) 删除流日志
BB: AWS 云读取尝试错误代码 用于称为 BB: AWS Cloud Read Attempt Error Code

将正则表达式条件替换为等于任何运算符。 添加了 Client.UnauthorizedOperation 错误代码。
AWS Cloud: 来自同一源 IP 的多个失败 API 请求 用于称为 AWS Cloud: 来自同一源 IP的多次失败读尝试。
AWS Cloud: 来自同一用户名的多个失败 API 请求 用于称为 AWS Cloud: 来自同一用户名的多次失败读尝试。

已更改要由用户名建立索引的规则索引。
AWS Cloud: 来自不同源 IP 的多个失败 API 请求 用于称为 AWS Cloud: 来自不同源 Ips 的多次失败读尝试

更改了要由目标 IP 建立索引的规则索引。
AWS 云: 关键 EC2 实例已停止或已终止 用于称为 AWS Cloud: EC2 实例删除和/或终止

已更新规则名称和测试。 现在,仅监视关键 EC2 实例。
AWS Cloud: 密码策略已更新 已更新规则响应。
AWS Cloud: VPC 配置更改 已更新规则响应。
AWS Cloud: 安全组配置更改 已更新规则响应。
AWS Cloud: 没有管理员权限的用户访问管理员角色 已更新规则响应。
AWS 云: 已创建 S3 存储区 已更新规则响应。
AWS 云: S3 存储区策略更改 已更新规则响应。
AWS Cloud: Network ACL 更改 已更新规则响应。
AWS 云: S3 存储区由非标准用户访问 已更新规则响应。
AWS Cloud: 用户概要文件已更新 已更新规则响应。
AWS Cloud: 已创建或删除组 已更新规则响应。
AWS 云: S3 存储区已删除 已更新规则响应。
AWS Cloud: 网关更改 已更新规则响应。
AWS Cloud: 密钥对管理配置更改 已更新规则响应。
AWS Cloud: 路由表更改 已更新规则响应。
AWS Cloud: 用户已添加到具有管理员角色能力的组中 已更新规则响应。

在此发行版中除去了 AWS Cloud: EC2 Instance Running State Change 规则。

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.3中新增或更新的参考数据。

表 18. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.2.3 中的参考数据
类型 名称 描述
引用集 AWS -管理组 已除去 adamiak-group 测试条目。
引用集 AWS -管理员角色 已除去 admin-adamiak-test 测试条目。

(返回到顶部)

IBM Security QRadar Amazon AWS 1.2.2

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2中新增或更新的定制属性。

表 19. IBM Security QRadar Amazon AWS 1.2.2
名称 已优化 捕获组 正则表达式
帐户名称 1 \"userName\".+\"userName\"\:\"([^\"\}]+)
操作 1 \"ConsoleLogin\"\:\"([^\"]+)
错误代码 1 \"errorCode\":\"([^\"]+)
EventName 1 eventName\:\"([^\"]+)
联合用户 (federated user) 1 federated-用户/([^ \"] +)
组帐户名称 1 userName.+userName\"\:\"([^\s"]+)
组名 1 groupName\"\:\"([^\s"]+)
图像标识 1 imageId\"\:\"([^\"]+)
实例大小类型 1 instanceType\"\:\"([^\"]+)
策略名称 1 policyArn\"\:\"([^\"]+)
区域 1 awsRegion\"\:\"([^\"]+)
角色名 1 \"roleName\"\:\"([^\"]+)
用户策略操作 1 policyName\"\:\"([^\"]+)
已添加用户 1 \"requestParameters.userName\"\:\"([^\"]+)
UserType 1 类型: " ([^ \"] +)
VPC 标识 1 vpcId\"\:\"([^\"]+)

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2中新增或更新的规则和构建块。

表 20. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.2.2 中的规则和构建块
类型 名称 描述
构建块 BB: AWS 云读取尝试错误代码 由 "读尝试" 规则使用,并返回 "拒绝访问" 参数。
规则 AWS Cloud: 密码策略已更新 检测何时更新了密码策略。
规则 AWS Cloud: VPC 配置更改 检测 VPC 和 VPC 属性的添加和更改。
规则 AWS Cloud: EC2 实例正在运行状态更改 检测正在运行,正在重新引导和正在启动的实例。
规则 AWS Cloud: 已删除云跟踪 检测要删除的 Amazon AWS Cloud Trail 日志。
规则 AWS Cloud: 云活动 (按 root 用户排列) 检测 root 用户的 Amazon AWS 活动。  以 root 用户身份登录将隐藏用户的真实身份。
规则 AWS Cloud: 大型实例正在运行 检测何时启动大型 EC2 实例。
规则 AWS Cloud: 安全组配置更改 检测对安全组配置的更改,规则和组的添加/删除。
规则 AWS Cloud: 对云跟踪日志或其配置所作的更改 检测 AWS Cloud Trail 日志的配置更改。
规则 AWS Cloud: 来自同一源 IP 的多个失败控制台登录 检测从同一源 IP 登录 AWS 控制台 5 的失败次数 (以 2 分钟为单位)。
规则 AWS Cloud: 来自不同源 IP 的多个失败控制台登录 检测来自不同源 IP 的 25 次登录 AWS 控制台失败 (以 2 分钟为单位)。
规则 AWS Cloud: 没有管理员权限的用户访问管理员角色 检测没有管理员权限的用户何时能够连接到管理员角色。
规则 AWS Cloud: 来自同一源 IP 的多次失败读尝试 在一定时间内检测来自同一源 IP 的多个 AWS 配置读取事件。
规则 AWS Cloud: 来自同一源 IP 的多次失败读尝试 检测何时创建 S3 存储区。
规则 AWS 云: S3 存储区策略更改 检测对 S3 存储区策略,访问控制表 (ACL) ,跨源资源共享 (CORS) 和生命周期策略的更改。
规则 AWS Cloud: EC2 在非标准 VPC 或无 VPC 的情况下启动 检测何时在没有 VPC 的非标准 VPC 或 EC2 经典版中启动实例。
规则 AWS Cloud: Network ACL 更改 检测网络 ACL 的添加,删除和更改。
规则 AWS Cloud: 来自不同源 IP 的多次失败读尝试 在一定时间内检测来自不同源 IP 的多个 AWS 配置读取事件。
规则 AWS Cloud: 已删除签名证书 检测何时删除签名证书。
规则 AWS 云: S3 存储区由非标准用户访问 检测不在 AWS -Standard Users 中的用户何时尝试检索 AWS 资源。
规则 AWS Cloud: 用户概要文件已更新 检测何时更新了用户概要文件。
规则 AWS Cloud: 已创建或删除组 检测何时创建或删除组。
规则 AWS 云: S3 存储区已删除 检测何时删除 S3 存储区或其内容。 生命周期,复制, CORS 和其他策略。
规则 AWS Cloud: 来自不同地理位置的多次控制台登录尝试 检测同一用户何时多次尝试从不同源地理位置登录到 AWS 控制台。 这可能表示共享或失窃的凭证。
规则 AWS Cloud: 网关更改 检测 EC2 实例中对网络网关配置的添加,删除和更改。
规则 AWS Cloud: 密钥对管理配置更改 检测新生成的密钥,已删除的密钥,加密或解密活动,并根据严重性创建事件或警报。
规则 AWS Cloud: EC2 实例删除和/或终止 检测停止和终止实例。
规则 AWS Cloud: EC2 从非标准映像启动 检测实例何时使用与标准映像列表不匹配的映像标识运行。
规则 AWS Cloud: 来自同一用户名的多次失败读尝试 在一定时间内检测来自同一用户的多个 AWS 配置读取事件。
规则 AWS Cloud: 路由表更改 检测何时已关联新子网或已从现有路由表中删除新子网。
规则 AWS Cloud: 用户已添加到具有管理员角色能力的组中 检测何时将用户添加到具有 admin 角色功能的组。

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2中新增或更新的报告。

表 21. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.2.2 中的报告
报告名称 搜索名称和依赖关系
AWS 审计事件-每月 已保存的搜索: AWS 审计事件
AWS 审计事件-每周 已保存的搜索: AWS 审计事件
AWS 失败的控制台登录联合用户-每月 保存的搜索: AWS 失败控制台登录 Fed User-Group by username and Source IP
AWS 失败的控制台登录联合用户-每周 保存的搜索: AWS 失败控制台登录 Fed User-Group by username and Source IP
AWS 失败的控制台登录非联合用户-每月 保存的搜索: AWS Failed Console Logins Non-Fed User-Grouped by Username and Source IP
AWS 失败的控制台登录非联合用户-每周 保存的搜索: AWS Failed Console Logins Non-Fed User-Grouped by Username and Source IP
AWS 组审计-每月 已保存的搜索: AWS 组更改审计
AWS 组审计-每周 已保存的搜索: AWS 组更改审计
AWS 大型 EC2 正在运行的实例-每月 已保存的搜索: AWS 大型实例正在运行
AWS 大型 EC2 正在运行的实例-每周 已保存的搜索: AWS 大型实例正在运行
AWS 策略更改审计-每月 已保存的搜索: AWS 策略更改审计
AWS 策略更改审计-每周 已保存的搜索: AWS 策略更改审计
AWS 角色创建,删除和更新-每周 已保存的搜索: AWS 角色创建,删除和更新
AWS 角色创建,删除和更新-每月 已保存的搜索: AWS 角色创建,删除和更新
AWS S3 创建的存储区-每月 已保存的搜索: AWS S3 已创建的存储区
AWS S3 创建的存储区-每周 已保存的搜索: AWS S3 已创建的存储区
AWS S3 已删除存储区-每月 已保存的搜索: AWS S3 存储区已删除
AWS S3 已删除存储区-每周 已保存的搜索: AWS S3 存储区已删除
AWS 安全组入口-每月 已保存的搜索: AWS 安全组入口
AWS 安全组入口-每周 已保存的搜索: AWS 安全组入口
AWS 成功的控制台登录联合用户-每月 已保存的搜索: AWS 成功控制台登录 Fed User-Group by username and Source IP
AWS 成功的控制台登录联合用户-每周 已保存的搜索: AWS 成功控制台登录 Fed User-Group by username and Source IP
AWS 成功的控制台登录非联合用户-每月 已保存的搜索: AWS 成功控制台登录非 Fed 用户组 (按用户名和源 IP 排列)
AWS 成功的控制台登录非联合用户-每周 已保存的搜索: AWS 成功控制台登录非 Fed 用户组 (按用户名和源 IP 排列)
AWS 用户帐户已创建-每月 已保存的搜索: AWS 用户帐户已创建
AWS 用户帐户创建-每周 已保存的搜索: AWS 用户帐户已创建
AWS VPC 事件审计-每月 已保存的搜索: AWS VPC 审计事件
AWS VPC 事件审计-每周 已保存的搜索: AWS VPC 审计事件

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2中新增或更新的参考数据。

表 22. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.2.2 中的参考数据
类型 名称
引用集 AWS -VPC 标识
引用集 AWS -管理组
引用集 AWS -管理用户
引用集 AWS -管理员角色
引用集 AWS -实例映像标识
引用集 AWS -标准用户
引用集 AWS -审计事件

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.2.2中新增或更新的已保存搜索。

表 23. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.2.2 中的已保存搜索
名称 描述
AWS S3 存储区 此已保存的搜索在 S3 Buckets Created 报告中使用。
AWS S3 存储区已删除 此已保存的搜索在 S3 "已删除的存储区" 报告中使用。
AWS 大型实例正在运行 此已保存的搜索在 "大型 EC2 实例运行" 报告中使用。
AWS VPC 审计事件 此保存的搜索在 AWS VPC 事件审计报告中使用。
AWS 失败的控制台登录非 Fed 用户-按用户名和源 IP 分组 此保存的搜索将在 "失败的控制台登录非联合用户" 报告中使用。
AWS 失败的控制台登录 Fed 用户组 (按用户名和源 IP 排列) 此已保存的搜索将在 "失败的控制台登录联合用户" 报告中使用。
AWS 安全组入口 此已保存的搜索在 "安全组入口" 报告中使用。
AWS 角色创建,删除和更新 在 "角色" 报告中使用此已保存的搜索。
AWS 成功控制台登录 Fed 用户组 (按用户名和源 IP) 此保存的搜索将在 "成功控制台登录联合用户" 报告中使用。
AWS 策略更改审计 此已保存的搜索将在 "策略更改" 报告中使用。
AWS 组更改审计 此已保存的搜索将在 "组更改" 报告中使用。
AWS 成功控制台登录非 Fed 用户组 (按用户名和源 IP 排列) 此保存的搜索将在 "成功控制台登录非联合用户" 报告中使用。
AWS 审计事件 此已保存的搜索将在 "审计事件" 报告中使用。
AWS 用户帐户已创建 此已保存的搜索将在 "用户帐户已创建" 报告中使用。

(返回到顶部)

IBM Security QRadar Amazon AWS 1.1.0

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.1.0中新增或更新的定制属性。

表 24. IBM Security QRadar Amazon AWS 1.1.0
名称 正则表达式
用户策略名称 policyName\"\:\"([^\"]+)
实例大小类型 instanceType\"\:\"([^\"]+)

在此发行版中除去了 角色 定制属性。

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.1.0中新增或更新的规则。

表 25. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.1.0 中的规则
类型 名称 描述
规则 AWS Cloud: 大型实例正在运行 检测大型实例何时运行。
规则 AWS Cloud: Network ACL 更改 检测对访问控制表 (ACL) 的更改。
规则 AWS Cloud: EC2 实例删除和/或终止 检测何时终止或删除 EC2 实例。
规则 AWS Cloud: VPC 配置更改 检测对虚拟私有云 (VPC) 进行的配置更改。
规则 AWS 云: S3 存储区由非标准用户访问 检测未在 AWS -Standard Users 引用集中列出的用户对 S3 存储区的访问。
规则 AWS Cloud: EC2 实例正在运行状态更改 检测对 EC2 实例运行状态的更改。
规则 AWS Cloud: 密钥对管理配置更改 检测对密钥对管理配置的更改。
规则 AWS 云: S3 存储区策略 检测对 S3 存储区策略的更改。
规则 AWS Cloud: 安全组配置更改 检测对安全组配置的更改。
规则 AWS Cloud: 网关更改 检测对网络网关的更改。
规则 AWS 云: S3 存储区已删除 检测何时删除 S3 存储区。
规则 AWS 云: 已创建 S3 存储区 检测何时创建 S3 存储区。

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS 1.1.0中新增或更新的参考数据。

表 26. IBM 安全性 QRadar Amazon 的定制属性 AWS 1.1.0 中的参考数据
类型 名称 描述
引用集 AWS -标准用户 组织的 AWS 用户的列表。 此参考集由 AWS Cloud: S3 存储区由非标准用户访问。

(返回到顶部)

IBM Security QRadar Amazon AWS 1.0.0

下表显示了 IBM Security QRadar Amazon AWS 1.0.0的定制属性。

表 27. IBM Security QRadar Amazon AWS 1.0.0
名称 正则表达式
区域 awsRegion\"\:\"([^\"]+)
帐户名称 \"userName\".+\"userName\"\:\"([^\"\}]+)
组名 groupName\"\:\"([^\s"]+)
联合用户 (federated user) federated-用户/([^ \"] +)
UserType "type": " ([^ \"] +)
UserAdded \"requestParameters.userName\"\:\"([^\"]+)
操作 \"ConsoleLogin\"\:\"([^\"]+)
组帐户名称 userName.+userName\"\:\"([^\s"]+)
错误代码 \"errorCode\":\"([^\"]+)
角色 policy_id = (\d +)

下表显示了 IBM Security QRadar Custom Properties for Amazon AWS Content Extension 1.0.0中的规则和构建块。

表 28. IBM 安全性 QRadar Amazon AWS Content Extension 1.0.0 中的规则和构建块
类型 名称 描述
构建块 BB: AWS 云读取尝试错误代码 由 "读尝试" 规则使用,并返回拒绝访问的参数。
规则 AWS Cloud: 来自不同源 IP 的多个失败控制台登录 检测来自不同源 IP 的 AWS Console 登录失败的次数,总共 5 次,以 2 分钟为单位。
规则 AWS Cloud: 来自不同地理位置的多次控制台登录尝试 在 2 分钟内检测来自不同地理位置的 AWS 控制台登录失败的次数 (总共 5 次)。
规则 AWS Cloud: 来自同一源 IP 的多个失败控制台登录 检测从同一源 IP 到 AWS 控制台的登录失败,总共 5 次,以 2 分钟为单位。
规则 AWS Cloud: 来自同一源 IP 的多次失败读尝试 在一定时间内检测来自同一源 IP 的多个 AWS 配置读取事件。
规则 AWS Cloud: 已删除云跟踪 检测何时删除 Amazon AWS Cloud Trail 日志。
规则 AWS Cloud: 来自不同源 IP 的多次失败读尝试 在一定时间内检测来自不同源 IP 的多个 AWS 配置读取事件。
规则 AWS Cloud: 云活动 (按 root 用户排列) 检测 root 用户的 Amazon AWS 活动。 以 root 用户身份登录将隐藏用户的身份。
规则 AWS Cloud: 来自同一用户名的多次失败读尝试 在一定时间内检测来自同一源 IP 的多个 AWS 配置读取事件。

下表显示了 IBM Security QRadar Amazon AWS Content Extension 1.0.0中的报告。

表 29. IBM 安全性 QRadar Amazon AWS Content Extension 1.0.0 中的报告
报告名称 描述
AWS 审计事件-每月 提供对 AWS 审计活动的更大监视和趋势。
AWS 审计事件-每周 提供对 AWS 审计活动的更大监视和趋势。
AWS 失败的控制台登录联合用户-每月 提供对 AWS 登录活动的更大监视和趋势。
AWS 失败的控制台登录联合用户-每周 提供对 AWS 登录活动的更大监视和趋势。
AWS 失败的控制台登录非联合用户-每月 提供对 AWS 登录活动的更大监视和趋势。
AWS 失败的控制台登录非联合用户-每周 提供对 AWS 登录活动的更大监视和趋势。
AWS 组审计-每月 提供对 AWS 组审计活动的更大监视和趋势。
AWS 组审计-每周 提供对 AWS 组审计活动的更大监视和趋势。
AWS 策略更改审计-每月 提供对 AWS 策略更改活动的更大监视和趋势。
AWS 策略更改审计-每周 提供对 AWS 策略更改活动的更大监视和趋势。
AWS 角色创建,删除和更新-每月 提供对 AWS 角色活动的更大监视和趋势。
AWS 角色创建,删除和更新-每周 提供对 AWS 角色活动的更大监视和趋势。
AWS -安全组入口-每月 提供对 AWS 安全组入口活动的更大监视和趋势。
AWS 安全组入口-每周 提供对 AWS 安全组入口活动的更大监视和趋势。
AWS 成功的控制台登录联合用户-每月 提供对 AWS 登录活动的更大监视和趋势。
AWS 成功的控制台登录联合用户-每周 提供对 AWS 登录活动的更大监视和趋势。
AWS 成功的控制台登录非联合用户-每月 提供对 AWS 登录活动的更大监视和趋势。
AWS 成功的控制台登录非联合用户-每周 提供对 AWS 登录活动的更大监视和趋势。
AWS 用户帐户已创建-每月 提供对 AWS 用户帐户创建活动的更大监视和趋势。
AWS 用户帐户创建-每周 提供对 AWS 用户帐户创建活动的更大监视和趋势。
AWS VPC 事件审计-每月 提供 Amazon Virtual Private Cloud 事件的趋势。
AWS VPC 事件审计-每周 提供 Amazon Virtual Private Cloud 事件的趋势。

下表显示了 IBM Security QRadar Amazon AWS Content Extension 1.0.0中的参考数据。

表 30. IBM 安全性 QRadar Amazon AWS Content Extension 1.0.0 中的参考数据
类型 名称 描述
引用集 AWS_Audit_Events AWS 审计事件搜索/报告所使用的一组 AWS 审计事件 (QID)。 用户可以根据其环境添加或删除。

下表显示了 IBM Security QRadar Amazon AWS Content Extension 1.0.0中的已保存搜索。

表 31. IBM 安全性 QRadar Amazon AWS Content Extension 1.0.0 中的已保存搜索
名称 描述
AWS -已创建用户帐户 此已保存的搜索将在 "用户帐户已创建" 报告中使用。
AWS -组更改审计 此已保存的搜索将在 "组更改" 报告中使用。
AWS -安全组入口 此已保存的搜索在 "安全组入口" 报告中使用。
AWS 成功控制台登录 Fed 用户组 (按用户名和源 IP) 此保存的搜索将在 "成功控制台登录联合用户" 报告中使用。
AWS 成功控制台登录非 Fed 用户组 (按用户名和源 IP 排列) 此保存的搜索将在 "成功控制台登录非联合用户" 报告中使用。
AWS 失败的控制台登录非美联储用户-按用户名和源 IP 分组 此保存的搜索将在 "失败的控制台登录非联合用户" 报告中使用。
AWS 失败的控制台登录 Fed 用户组 (按用户名和源 IP 排列) 此已保存的搜索将在 "失败的控制台登录联合用户" 报告中使用。
AWS 角色创建,删除和更新 在 "角色" 报告中使用此已保存的搜索。
AWS 策略更改审计 此已保存的搜索将在 "策略更改" 报告中使用。
AWS 要审计的事件 此已保存的搜索将在 "审计事件" 报告中使用。
AWS VPC 审计事件 此保存的搜索在 AWS VPC 事件审计报告中使用。

(返回到顶部)