Перейти до змісту

Довідник вбудованих запитів і дашбордів

💡 Не потрібні SQL чи глибокі знання AWS — просто оберіть полювання зі спадного списку й миттєво отримайте результати.

🎯 Вбудовані полювання — 100+ запитів

Категорії впорядковані за пріоритетом тріажу DFIR — спочатку перевіряйте втручання в інструменти виявлення, потім зловживання ідентичностями, далі вплив на дані.

Категорія Запити Основні охоплені загрози
🛡 Виявлення та реагування 12 Втручання в служби аудиту (CloudTrail/GuardDuty/Config/SecurityHub/Macie) · видалення SCP · придушення сповіщень · ексфільтрація журналів
🔑 Ідентичність та доступ 26 Використання root · вхід до консолі/MFA · підвищення привілеїв · бекдор у політиці довіри · зловживання PassRole · міжакаунтний AssumeRole · SSO/SAML/OIDC · перелік облікових даних
🪣 Дані та сховище 21 Масове видалення/завантаження S3 · масове читання секретів · втручання в резервні копії · операції KMS · спільний доступ до знімків · ексфільтрація через EBS Direct API · експорт DynamoDB · міжакаунтна реплікація S3
⚡ Обчислення та serverless 14 Масова зупинка/завершення EC2 · бічне переміщення через SSM · втручання в Lambda/ECS/EKS/ECR · персистентність через EventBridge · криптомайнінг · зловживання Lightsail
🌐 Мережа та інфраструктура 14 SG, відкрита в інтернет · видалення журналів потоків VPC · викрадення CloudFront · приховані тунелі VPN/TGW · C2 через Elastic IP · ключі API Gateway
🕵 Шаблони загроз 5 Записи в неробочий час · сплеск розвідки · поширення в кількох регіонах · незвичні user agent · перші виклики API
📊 Активність та базова лінія 3 Події запису в консолі · сплески помилок · нещодавні помилки
🌍 Аналіз GeoIP ✦ 12 Неможлива подорож · облікові дані в кількох країнах · гео-ранжовані входи/відмови/записи · розподіл за країнами/містами/ASN · event_name × країна · ідентичність × країна
☁ IaC та платформа 2 Атака на ланцюг постачання CI/CD · зловживання CloudFormation
📋 Повний список — усі 100+ запитів (натисніть, щоб розгорнути) ## Вбудовані полювання ### 🛡 Виявлення та реагування | # | Мітка | Діаграма | Опис | |---|-------|:-----:|-------------| | 1 | 🛑 Втручання в CloudTrail | timeseries | Виявляє будь-яку спробу зупинити чи змінити CloudTrail — найкритичніший індикатор приховування слідів | | 2 | 🛡️ Втручання в детектор GuardDuty | timeseries | Виявляє вимкнення, видалення GuardDuty та маніпуляції з threat-intel | | 3 | ⛔ Втручання в Security Hub | timeseries | Виявляє вимкнення Security Hub, вимкнення стандартів та придушення знахідок | | 4 | ⚙️ Втручання в AWS Config | timeseries | Виявляє видалення рекордера/правила AWS Config (усуває докази відповідності) | | 5 | 🛡 Зміни SCP в Organizations | timeseries | Виявляє створення, оновлення та видалення SCP — видалення Deny SCP усуває захисні бар'єри для кожного акаунта в OU | | 6 | 🚫 Втручання в AWS Macie | timeseries | Виявляє вимкнення Macie та створення фільтрів знахідок (ухилення від захисту перед ексфільтрацією) | | 7 | 🚨 Видалення / вимкнення сповіщень CloudWatch | timeseries | Виявляє видалення сповіщень і DisableAlarmActions — глушить безпекові сповіщення без видалення самого сповіщення | | 8 | 📜 Зміни підписок CloudWatch Logs | timeseries | Виявляє створення/видалення фільтрів підписок CW Logs (ексфільтрація журналів у реальному часі до Kinesis/Lambda зловмисника) | | 9 | 🏹 Зміни WAF WebACL | timeseries | Виявляє створення, оновлення та видалення WAF WebACL у WAFv2/WAF Classic | | 10 | 🔍 Читання знахідок GuardDuty | timeseries | Виявляє ListFindings / GetFindings — зловмисник читає активні знахідки, щоб зрозуміти, що SOC уже виявив | | 11 | 💰 Зміни бюджету / аномалій витрат | timeseries | Виявляє видалення Budget/AnomalyMonitor (приховування витрат на криптомайнінг) | | 12 | 🚫 Помилки Access Denied | bar | Групує помилки AccessDenied за ідентичністю та API — найчастіші порушники свідчать про зловживання обліковими даними | ### 🔑 Ідентичність та доступ | # | Мітка | Діаграма | Опис | |---|-------|:-----:|-------------| | 1 | 🔑 Активність акаунта root | timeseries | Виявляє будь-який виклик API від акаунта root — root ніколи не слід використовувати в проді | | 2 | 🔓 Вхід до консолі без MFA | timeseries | Виявляє входи до консолі без використання MFA — індикатор високого ризику компрометації акаунта | | 3 | 🌐 Входи до консолі | timeseries | Перелічує всі спроби входу до консолі, включно з успішними та невдалими (виявлення перебору) | | 4 | 🔐 Зміни MFA та паролів | timeseries | Виявляє деактивацію MFA та скидання паролів — сильний індикатор захоплення акаунта | | 5 | 🔄 Підвищення привілеїв (IAM) | timeseries | Виявляє приєднання політик IAM та маніпуляції з ролями (PutUserPolicy, AttachRolePolicy, CreatePolicyVersion тощо) | | 6 | 🔄 Зміни політики довіри ролі IAM | timeseries | Виявляє UpdateAssumeRolePolicy — додавання зовнішніх принципалів до політики довіри створює стійкий бекдор | | 7 | 🚧 Зміни межі дозволів IAM | timeseries | Виявляє події put/delete межі дозволів — видалення межі негайно розширює фактичні дозволи | | 8 | 👑 Користувача додано до групи адмінів | timeseries | Виявляє користувачів, доданих до груп зі словом 'admin' у назві — класичне підвищення привілеїв | | 9 | 👥 Зміни членства в групах IAM | timeseries | Виявляє всі події AddUserToGroup / RemoveUserFromGroup / CreateGroup / DeleteGroup незалежно від назви групи | | 10 | 👤 Нові користувачі / ключі IAM | timeseries | Визначає події створення користувачів IAM та ключів доступу — неочікуване створення може вказувати на персистентність | | 11 | 🎯 Зловживання IAM PassRole | timeseries | Виявляє використання iam:PassRole шляхом перевірки подій служб-отримувачів (RunInstances, CreateFunction, CreateNotebookInstance тощо), де передається ARN ролі | | 12 | 🔐 Міжакаунтний AssumeRole | timeseries | Показує події AssumeRole, де викликач і ціль перебувають у різних акаунтах AWS (бічне переміщення) | | 13 | 🏢 Міжакаунтний доступ | timeseries | Знаходить усі події, де акаунт викликача відрізняється від акаунта-отримувача | | 14 | 🔑 Видача токенів федерації STS | timeseries | Виявляє GetFederationToken та GetSessionToken — перетворює довготривалі ключі на стійкі тимчасові облікові дані | | 15 | 🧩 STS AssumeRoleWithWebIdentity | timeseries | Виявляє зловживання довірою OIDC (неправильно налаштоване твердження sub / GitHub Actions без умови repo) | | 16 | 🆔 Події IAM Identity Center (SSO) | timeseries | Виявляє дії керування AWS IAM Identity Center (CreatePermissionSet, CreateAccountAssignment тощо) | | 17 | 🔗 Оновлення провайдерів SAML / OIDC | timeseries | Виявляє зміни провайдерів ідентичності SAML/OIDC — оновлення метаданих SAML підконтрольним зловмиснику IdP створює стійкий бекдор автентифікації | | 18 | 🧐 Виклики IAM Access Analyzer | timeseries | Виявляє будь-яке використання IAM Access Analyzer — зловмисники використовують вбудований аналізатор для переліку зовнішньо доступних ресурсів без власних скриптів розвідки | | 19 | 🔄 Звіт про облікові дані та перелік | timeseries | Виявляє перелік IAM (GenerateCredentialReport, ListUsers, ListRoles, GetAccountAuthorizationDetails тощо) | | 20 | 🗝 Зловживання ключем доступу | bar | Виявляє ключі доступу, використані з 3+ різних вихідних IP за 7 днів — сильний індикатор витоку ключа | | 21 | 📰 Створення акаунтів AWS Organizations | timeseries | Виявляє створення акаунтів Organizations та зміни делегованого адміністратора (персистентність через тіньовий акаунт) | | 22 | 👥 Неавтентифікований доступ Cognito | timeseries | Виявляє Cognito Identity Pools з allowUnauthenticatedIdentities=true | | 23 | 🧪 Підвищення привілеїв Glue DevEndpoint | timeseries | Виявляє створення Glue DevEndpoint (iam:PassRole + glue:CreateDevEndpoint = доступна через SSH кінцева точка, що працює з повними дозволами переданої ролі) та перелік з'єднань для збору облікових даних | | 24 | 🧪 Підвищення привілеїв SageMaker Notebook | timeseries | Виявляє створення ноутбука SageMaker та генерацію presigned URL — iam:PassRole + sagemaker:CreateNotebookInstance запускає середовище Jupyter з повними дозволами AWS переданої ролі | | 25 | 🛠 Підвищення привілеїв Data Pipeline / CodeStar | timeseries | Виявляє створення ресурсів Data Pipeline та CodeStar, що використовуються для підвищення через iam:PassRole (CreateProjectFromTemplate як побічний ефект створює адмінську роль IAM) | | 26 | 🧩 Підвищення привілеїв Step Functions | timeseries | Виявляє створення стейт-машин Step Functions (iam:PassRole + states:CreateStateMachine виконує завдання Lambda/ECS під переданою роллю) | ### 🪣 Дані та сховище | # | Мітка | Діаграма | Опис | |---|-------|:-----:|-------------| | 1 | 💣 Масове видалення об'єктів S3 | bar | Виявляє ідентичності, що виконують ≥50 викликів DeleteObject/DeleteObjects на годину — шаблон знищення даних програмами-вимагачами / wiper | | 2 | 🔥 Втручання в AWS Backup | timeseries | Виявляє видалення Backup Vault / Plan / RecoveryPoint та зняття Vault Lock — перший крок програм-вимагачів для усунення можливостей відновлення | | 3 | 🔓 Операції з ключами KMS | timeseries | Позначає чутливі операції KMS (DisableKey, ScheduleKeyDeletion, CreateGrant, PutKeyPolicy, високообсяговий Decrypt) | | 4 | 🔓 Вимкнено блокування публічного доступу S3 | — | Виявляє вимкнення налаштувань блокування публічного доступу S3 — негайний ризик розкриття даних | | 5 | 🪣 Зміни політики / ACL бакета S3 | timeseries | Виявляє зміни політики та ACL бакета S3 (PutBucketPolicy з Principal='*' особливо критичний) | | 6 | 🪣 Аномалії доступу до даних S3 | bar | Виявляє масові виклики GetObject (≥100/годину) — шаблон автоматизованої ексфільтрації даних | | 7 | 🔐 Масовий GetSecretValue у Secrets Manager | bar | Виявляє ідентичності, що отримують ≥10 різних секретів за одну годину — сигнал збору облікових даних | | 8 | 🗝 Видалення Secrets Manager та міжакаунтна політика | timeseries | Виявляє видалення секретів, PutResourcePolicy (міжакаунтний спільний доступ) та CancelRotateSecret | | 9 | 🔐 Масове читання SSM Parameter Store | bar | Виявляє ідентичності, що читають ≥20 параметрів за одну годину — часто недооцінений канал ексфільтрації | | 10 | 💾 Міжакаунтний спільний доступ до знімків RDS | timeseries | Виявляє знімки RDS/Aurora, надані зовнішнім акаунтам AWS (ексфільтрація бази даних через знімок) | | 11 | 💣 RDS видалено без фінального знімка | — | Виявляє видалення RDS з skipFinalSnapshot=true — потенційне знищення даних | | 12 | 💽 Увімкнено публічну доступність RDS | timeseries | Виявляє екземпляри RDS, створені чи змінені з publiclyAccessible=true | | 13 | 🗄 Експорт / масова ексфільтрація DynamoDB | timeseries | Виявляє ExportTableToPointInTime (повний серверний експорт таблиці в обхід DLP на GetItem), DeleteTable та вимкнення PITR | | 14 | 💾 Ексфільтрація знімків через EBS Direct API | timeseries | Виявляє EBS Direct API (ListSnapshotBlocks / GetSnapshotBlock) — Pacu ebs__download_snapshots передає сирі дані знімка без EC2, обходячи виявлення ModifySnapshotAttribute | | 15 | 🌊 Канал ексфільтрації Kinesis Firehose / Stream | timeseries | Виявляє створення/оновлення delivery stream Firehose, спрямованого на зовнішній S3 — конвеєр даних у реальному часі, невидимий для мережевого DLP | | 16 | 🔁 Міжакаунтна реплікація S3 | timeseries | Виявляє PutBucketReplication — потайки копіює всі нові об'єкти до підконтрольного зловмиснику бакета, не генеруючи додаткових подій GetObject | | 17 | 📂 Вимкнено версіонування / журналювання S3 | timeseries | Виявляє призупинення версіонування (дозволяє остаточне видалення) та вимкнення журналювання доступу до сервера (усуває слід доказів) | | 18 | 📧 Зміни конфігурації ідентичності та пересилання SES | timeseries | Виявляє зміни правил отримання SES та конфігурації ідентичності — правила пересилання ретранслюють усю вхідну пошту на адреси зловмисника; верифіковані ідентичності уможливлюють фішингові кампанії | | 19 | 📡 Зміни міжакаунтної політики SQS / SNS | timeseries | Виявляє зміни політики SQS/SNS, що надають доступ зовнішнім акаунтам (потайне передавання повідомлень на кінцеві точки зловмисника) | | 20 | 📸 Публічний спільний доступ до знімків / AMI EC2 | timeseries | Виявляє знімки EBS або AMI, надані публічно (group=all) — дозволяє будь-кому копіювати образи дисків і витягувати дані | | 21 | 📧 Канали ексфільтрації даних | bar | Виявляє високообсягові виклики SNS/SQS/SES/S3 PutObject (≥50/годину) від однієї ідентичності | ### ⚡ Обчислення та serverless | # | Мітка | Діаграма | Опис | |---|-------|:-----:|-------------| | 1 | 💥 Масова зупинка / завершення EC2 | timeseries | Виявляє ідентичності, що виконують ≥5 StopInstances/TerminateInstances за одну годину — індикатор програм-вимагачів / wiper | | 2 | 🖥️ SSM Session / Run Command | timeseries | Виявляє SSM StartSession, SendCommand та StartAutomationExecution — основний шлях бічного переміщення через керовані екземпляри | | 3 | 🔑 Доступ через EC2 Instance Connect / Serial Console | timeseries | Виявляє SendSSHPublicKey та SendSerialConsoleSSHPublicKey — обходить пари ключів EC2 (дійсні 60 секунд, не залишають артефактів SSH-ключа) | | 4 | 📝 Модифікація User Data EC2 | timeseries | Виявляє ModifyInstanceAttribute зі зміною userData — скрипт виконується як root при наступному завантаженні | | 5 | ⚡ Втручання у функції Lambda | timeseries | Виявляє створення Lambda, оновлення коду (UpdateFunctionCode) та зміни дозволів (AddPermission) | | 6 | 📦 Додавання шару Lambda | timeseries | Виявляє публікацію шару Lambda та AddLayerVersionPermission з підстановочним принципалом (публічна атака на ланцюг постачання) | | 7 | 📦 Визначення завдання ECS | timeseries | Виявляє RegisterTaskDefinition / UpdateService — Pacu ecs__backdoor_task_def впроваджує шкідливий sidecar-контейнер без доступу до ECR | | 8 | 👤 Зміни профілю екземпляра EC2 | timeseries | Виявляє AssociateIamInstanceProfile / ReplaceIamInstanceProfileAssociation — приєднує привілейований профіль, що уможливлює бічне переміщення | | 9 | 🖥 Запуски екземплярів EC2 | timeseries | Перелічує всі події RunInstances, включно з типом екземпляра, кількістю, назвою ключа та AMI (виявлення криптомайнінгу) | | 10 | 💰 Зловживання Spot Fleet / Reserved Instance EC2 | timeseries | Виявляє великі запити Spot Fleet (ec2) та створення груп Auto Scaling з високою місткістю (autoscaling) — індикатор фінансового впливу криптомайнінгу | | 11 | ☸️ Виклики API кластера EKS | timeseries | Виявляє модифікації control-plane кластера EKS (публічне розкриття API-сервера, нелегальні профілі Fargate) | | 12 | 🐳 Зміни репозиторію / образу ECR | timeseries | Виявляє події репозиторію/образу ECR (PutImage з тегом 'latest' отруює всі подальші розгортання) | | 13 | 📅 Зміни правил EventBridge / CloudWatch | timeseries | Виявляє модифікації правил EventBridge та Scheduler (PutRule, CreateSchedule) — встановлює персистентність без запущеного процесу | | 14 | 💡 Зловживання екземплярами та ключами Lightsail | timeseries | Виявляє отримання ключів Lightsail, розкриття портів та доступ до екземплярів — Pacu lightsail__download_ssh_keys / lightsail__generate_temp_access | ### 🌐 Мережа та інфраструктура | # | Мітка | Діаграма | Опис | |---|-------|:-----:|-------------| | 1 | 🌍 Security Group, відкрита в інтернет | timeseries | Знаходить правила security group, що дозволяють трафік з 0.0.0.0/0 — ризик прямого публічного розкриття | | 2 | 🔥 Модифікації Security Group | timeseries | Виявляє всі зміни правил security group (AuthorizeSecurityGroupIngress, ModifySecurityGroupRules тощо) | | 3 | 🌊 Зміни журналів потоків VPC | timeseries | Виявляє видалення журналів потоків VPC — видалення журналів потоків усуває основні мережеві форензичні докази | | 4 | 🌐 Втручання в розповсюдження CloudFront | timeseries | Виявляє зміни origin CloudFront, що перенаправляють увесь трафік CDN на підконтрольні зловмиснику сервери (MitM) | | 5 | 🛡 Втручання в Network Firewall / Shield | timeseries | Виявляє зняття захисту Network Firewall та Shield — розкриває цілі діапазони підмереж для атакувального трафіку | | 6 | 🧱 Зміни Network ACL | timeseries | Виявляє створення, видалення та заміну записів NACL — NACL мають пріоритет над security group на рівні підмережі | | 7 | 🛣️ Зміни таблиці маршрутизації | timeseries | Виявляє модифікації таблиці маршрутизації — зловмисники перенаправляють трафік на шкідливі шлюзи для перехоплення чи C2 | | 8 | 🧱 VPN / Direct Connect / Transit Gateway | timeseries | Виявляє нові з'єднання VPN та приєднання Transit Gateway — створює стійкі мережеві шляхи рівня 3 для C2 чи ексфільтрації | | 9 | 📡 Виділення / асоціація Elastic IP | timeseries | Виявляє виділення/асоціацію Elastic IP — призначає фіксований публічний IP скомпрометованим екземплярам для стабільної інфраструктури C2 | | 10 | 🗝️ Створення пари ключів EC2 | timeseries | Виявляє CreateKeyPair та ImportKeyPair — зловмисник створює SSH-ключі для стійкого доступу до екземпляра | | 11 | 📡 Зміни мережевої інфраструктури | timeseries | Виявляє зміни VPC / підмережі / IGW / NAT Gateway / пірингу, що можуть встановити підконтрольну зловмиснику інфраструктуру | | 12 | 🏷 Операції з сертифікатами ACM | timeseries | Виявляє запити та видалення сертифікатів ACM — скомпрометовані акаунти можуть видавати TLS-сертифікати для фішингових доменів | | 13 | 🔑 Створення та керування ключами API Gateway | timeseries | Виявляє створення ключів API Gateway та зміни авторизатора — Pacu api_gateway__create_api_keys генерує стійкі облікові дані, що переживають ротацію ключів IAM | | 14 | 🚧 Access Denied через VPC Endpoint | timeseries | Виявляє помилки access denied через VPC endpoint — може вказувати на неправильно налаштовану політику endpoint | ### 🕵 Шаблони загроз | # | Мітка | Діаграма | Опис | |---|-------|:-----:|-------------| | 1 | 🔍 Шаблон розвідки | bar | Визначає викликачів, що запустили 10+ різних API Describe*/List*/Get* за одну годину — поширена рання фаза атаки | | 2 | 🤖 Незвичні user agent | bar | Перелічує рідкісні user agent (<5 подій) або відомі інструменти зловмисників (Pacu, curl, wget) — можуть вказувати на атакувальний інструментарій | | 3 | 🌍 Активність у кількох регіонах | bar | Виявляє ідентичності, що виконують записи в 3+ регіонах за один день — географічне поширення може вказувати на компрометацію | | 4 | 🕵 Перші виклики API (24 год) | — | Знаходить виклики API, помічені за останні 24 год, але ніколи раніше — нові операції можуть вказувати на атакувальний інструментарій | ### 📊 Активність та базова лінія | # | Мітка | Діаграма | Опис | |---|-------|:-----:|-------------| | 1 | 🖥 Події запису з консолі керування | timeseries | Визначає мутувальні виклики API, зроблені через консоль AWS — корисно, коли очікується лише доступ через CLI | | 2 | 🔍 Події з помилками (24 год) | timeseries | Перелічує всі події помилок за останні 24 години — швидкий огляд того, що збоїть або зондується | | 3 | ❌ Виявлення сплеску помилок | — | Знаходить 1-годинні вікна, де кількість помилок перевищує добове середнє в 3 рази | ### 🌍 Аналіз GeoIP > Для заповнення потрібні файли GeoLite2 `.mmdb` (стовпці NULL, якщо завантажено без GeoIP). | # | Мітка | Діаграма | Опис | |---|-------|:-----:|-------------| | 1 | 🕵 Виявлення неможливої подорожі | — | Виявляє одну ідентичність, що викликає API з віддалених міст протягом 2 годин — сильний індикатор компрометації облікових даних | | 2 | ⚠ Доступ ідентичності з кількох країн | bar | Знаходить ідентичності, що роблять виклики API з 2+ країн — легітимні користувачі рідко працюють з кількох країн одночасно | | 3 | 🗺 Входи до консолі за країнами | timeseries | Зіставляє події входу до консолі з їх географічним походженням — входи з неочікуваних країн становлять високий ризик | | 4 | 🚨 Доступ із незвичної країни | bar | Виявляє рідкісні комбінації країна/ідентичність (<10 подій) — низькообсяговий іноземний доступ може бути інфраструктурою зловмисника | | 5 | 🚫 Access Denied за країнами | bar | Групує помилки access denied за вихідною країною — концентровані відмови з однієї країни можуть сигналізувати про атаку | | 6 | 🔍 Події запису за країнами | bar | Показує мутувальні виклики API, згруповані за вихідною країною — записи з неочікуваних країн є сильнішим сигналом, ніж читання | | 7 | 🌍 Топ вихідних країн | bar | Ранжує вихідні країни за обсягом викликів API з розбивкою за подіями запису та унікальними ідентичностями | | 8 | 🏢 Топ ASN / організацій | bar | Перелічує автономні системи (ISP/хмарні провайдери) за обсягом викликів API — ASN VPN/хостингу можуть вказувати на інфраструктуру зловмисника | | 9 | 📍 Топ вихідних міст | bar | Ранжує вихідні міста за обсягом подій — дані на рівні міста точно визначають конкретну інфраструктуру зловмисника чи розташування офісів | | 10 | 🌐 Зведення приватних / внутрішніх IP | bar | Підсумовує події з приватних/loopback/внутрішніх IP AWS — базова лінія для очікуваного внутрішнього трафіку | | 11 | 📋 Виклики API за країнами (назва події) | table | Топ пар (event_name, країна) за обсягом викликів — показує, які операції API походять з неочікуваних географічних регіонів | | 12 | 👤 Ідентичності за країнами (user_identity_arn) | table | Топ пар (user_identity_arn, країна) за обсягом викликів — виявляє ідентичності IAM, активні з неочікуваних країн, з першим/останнім спостереженням | ### ☁ IaC та платформа | # | Мітка | Діаграма | Опис | |---|-------|:-----:|-------------| | 1 | 🛠 Атака на ланцюг постачання CodeBuild / CodePipeline | timeseries | Виявляє створення та модифікацію конвеєра CI/CD (UpdateProject впроваджує шкідливі кроки збірки в кожну подальшу збірку) | | 2 | 🏗 Зловживання CloudFormation / IaC | timeseries | Виявляє операції зі стеком CloudFormation — зловмисники можуть використовувати IaC для швидкого розгортання шкідливої інфраструктури |

📊 Діаграми дашборду — 80+ діаграм

Вкладка Діаграми Що показує
🔑 Ідентичність та доступ 9 Входи до консолі · тренд MFA · теплова карта входів · чутливі API · використання root · активність сутностей IAM · підвищення привілеїв · SSO/privesc
🎯 Виявлення загроз 12 Обсяг подій · співвідношення читання/запису · ухилення від захисту · access denied · тренд помилок · втручання в SCP/Config/NACL/EventBridge
📊 Активність API 7 Топ API · розподіл за регіонами · вихідні IP · user agent · аномалії секретів · зовнішній AssumeRole · зміни Route53
🖥️ Обчислення 5 Виконання SSM · публічний знімок EC2 · події EKS/ECR · бекдор ECS · ексфільтрація через EBS Direct API
🪣 S3 та RDS 9 Політика/ACL S3 · масове завантаження/видалення · вимкнено версіонування/журналювання · міжакаунтна реплікація · спільний доступ до знімків RDS · втручання в Backup
🌍 Розвідка GeoIP 6 Карта світу · топ країн / міст / ASN за обсягом запитів · event_name × країна · ідентичність × країна
🕒 Часовий аналіз 6 Перше/останнє спостереження за ідентичністю/IP/API/agent · реактивовані сплячі акаунти · сплески швидкості
🚨 Монітор API високого ризику 7 Часовий ряд HRM · топ викликів/акторів/IP · ухилення від захисту/деталі облікових даних · за регіонами
📋 Повний список — усі 80+ діаграм (натисніть, щоб розгорнути) ## Діаграми дашборду (Apache Superset — `dashboard/`) ### 🔑 Ідентичність та доступ | # | Назва діаграми | Опис | |---|------------|-------------| | 1 | Console Login Activity | Події входу до консолі, згруповані за ідентичністю IAM (DSH-08) | | 2 | MFA-less Login Trend | Щоденні входи до консолі з розбивкою за використанням MFA (DSH-28) | | 3 | Login Activity Heatmap (Hour × Day) | Кількість входів до консолі за днем тижня та годиною доби в JST (DSH-19) | | 4 | Sensitive API Calls | Виклики відомих чутливих з точки зору безпеки дій API AWS (DSH-12) | | 5 | Root Account Usage | Усі виклики API, зроблені акаунтом AWS Root (DSH-13) | | 6 | IAM Entity Activity | Топ 50 сутностей IAM за загальною кількістю викликів API, зі співвідношенням запису та частотою помилок | | 7 | Privilege Escalation Timeline | Щоденна кількість викликів API підвищення привілеїв за назвою події (DSH-30) | | 8 | IAM Identity Center (SSO) Events | Події керування AWS IAM Identity Center з sso.amazonaws.com (DSH-44) | | 9 | Glue & SageMaker Privilege Escalation | Події Glue DevEndpoint та SageMaker Notebook, використані для підвищення привілеїв IAM через iam:PassRole (DSH-50) | ### 🎯 Виявлення загроз | # | Назва діаграми | Опис | |---|------------|-------------| | 1 | CloudTrail Events Over Time | Погодинний обсяг подій Read проти Write з часом (DSH-01) | | 2 | Write/Read Ratio Trend | Погодинна розбивка викликів API читання проти запису (DSH-20) | | 3 | Throttling Exception Spikes | Погодинні помилки throttling/обмеження швидкості за службою AWS (DSH-21) | | 4 | Defense Evasion Events | Усі події CloudTrail, що відповідають відомим технікам ухилення від захисту (DSH-22) | | 5 | Top Access Denied Actions | Топ 20 дій API, що повертають помилки AccessDenied (DSH-09) | | 6 | Error Event Trend | Погодинні події помилок з розбивкою за error_code (DSH-04) | | 7 | Organizations / SCP Changes | Події керування AWS Organizations, включно зі змінами політики SCP (DSH-24) | | 8 | First-Time Service Sources | Усі різні джерела служб AWS, впорядковані за датою першої появи (DSH-26) | | 9 | VPC Flow Log Changes | Події створення та видалення журналів потоків VPC (DSH-42) | | 10 | AWS Config Tampering | Події втручання в рекордер та правила AWS Config (DSH-43) | | 11 | Network ACL / Route Table Changes | Події модифікації NACL та таблиці маршрутизації (DSH-46) | | 12 | EventBridge / CloudWatch Rule Tampering | Втручання в правила EventBridge та CloudWatch Events (DSH-47) | ### 📊 Активність API | # | Назва діаграми | Опис | |---|------------|-------------| | 1 | Top 20 API Calls | 20 найчастіше викликаних дій API AWS (DSH-02) | | 2 | Region Activity | Розподіл подій CloudTrail за регіонами AWS (DSH-14) | | 3 | Top Source IP Addresses | Топ 100 зовнішніх вихідних IP за кількістю запитів (DSH-05) | | 4 | User Agent Analysis | Топ 50 user agent за кількістю запитів з розбивкою помилок та записів (DSH-11) | | 5 | Secrets Access Anomaly | Ідентичності, що звертаються до Secrets Manager або SSM Parameter Store ≥10 разів за одну годину | | 6 | AssumedRole from External IP | Виклики AssumeRole з публічних (неприватних) IP-адрес (DSH-27) | | 7 | Route53 DNS Changes | Зміни конфігурації hosted-zone та resolver Route 53 (DSH-29) | ### 🖥️ Обчислення | # | Назва діаграми | Опис | |---|------------|-------------| | 1 | SSM Session / Run Command Execution | Події віддаленого виконання AWS Systems Manager (DSH-39) | | 2 | EC2 Public Snapshot / AMI Sharing | Події публічного спільного доступу до знімків EBS та AMI (DSH-41) | | 3 | EKS / ECR Container Platform Events | Події кластера EKS та реєстру контейнерів ECR (DSH-48) | | 4 | ECS Task Definition | Події реєстрації визначення завдання ECS та оновлення служби — шаблон Pacu ecs__backdoor_task_def (DSH-49) | | 5 | EBS Direct API Snapshot Exfiltration | Виклики EBS Direct API (ListSnapshotBlocks / GetSnapshotBlock), використані для передачі даних знімка без EC2 (DSH-51) | ### 🪣 S3 та RDS | # | Назва діаграми | Опис | |---|------------|-------------| | 1 | S3 Protection Config Changes | Події S3, що послаблюють безпекову позицію бакета (DSH-25) | | 2 | S3 Bucket Policy / ACL Changes | Події модифікації політики та ACL бакета S3 (DSH-45) | | 3 | RDS Snapshot Cross-Account Share | Події спільного доступу до знімків RDS та Aurora (DSH-40) | | 4 | S3 Bulk Download | Ідентичності, що виконують ≥100 викликів GetObject на годину — шаблон автоматизованої ексфільтрації даних (DSH-52) | | 5 | S3 Bulk Object Deletion | Ідентичності, що виконують ≥50 викликів DeleteObject/DeleteObjects на годину — шаблон знищення даних програмами-вимагачами (DSH-53) | | 6 | S3 Versioning / Logging Disabled | PutBucketVersioning (Suspended) та PutBucketLogging (disabled) — антифорензичний передвісник знищення даних (DSH-54) | | 7 | S3 Cross-Account Replication | PutBucketReplication / DeleteBucketReplication — стійкий потайний канал ексфільтрації до підконтрольного зловмиснику акаунта (DSH-55) | | 8 | RDS Deleted without Final Snapshot | DeleteDBInstance / DeleteDBCluster з skipFinalSnapshot=true — невідновне знищення даних (DSH-56) | | 9 | AWS Backup Tampering | Видалення Backup Vault / Plan / RecoveryPoint та зняття Vault Lock — перший крок програм-вимагачів для усунення можливостей відновлення (DSH-57) | ### 🌍 Розвідка GeoIP > Потрібні файли GeoLite2 `.mmdb`. Стовпці GeoIP NULL, якщо завантажено без GeoIP. | # | Назва діаграми | Опис | |---|------------|-------------| | 1 | Global Request Origin Map | Карта світу, що показує географічний розподіл походжень викликів API CloudTrail | | 2 | Top Countries by Request Volume | Топ 20 вихідних країн за обсягом викликів API з розбивкою за подіями запису та унікальними викликачами | | 3 | Top Cities by Request Volume | Топ 25 міст за обсягом викликів API з розбивкою за подіями запису та унікальними викликачами | | 4 | Top ASN Organizations by Request Volume | Топ 25 організацій ASN за обсягом викликів API | | 5 | API Calls by Country (Event Name × GeoIP) | Топ 50 пар (event_name, країна) — показує, які операції API викликаються з кожного географічного регіону (DSH-79) | | 6 | Identities by Country (user_identity_arn × GeoIP) | Топ 50 пар (user_identity_arn, країна) — виявляє ідентичності IAM, активні з неочікуваних країн, з кількістю записів та першим/останнім спостереженням (DSH-80) | ### 🕒 Часовий аналіз | # | Назва діаграми | Опис | |---|------------|-------------| | 1 | First / Last Seen per IAM Identity | Ідентичності IAM з мітками часу першого/останнього спостереження, кількістю подій та різними API | | 2 | First / Last Seen per Source IP | Вихідні IP з першим/останнім спостереженням, різними ідентичностями та різними API | | 3 | First / Last Seen per API Call | Дії API, впорядковані за першою появою — нові виклики можуть вказувати на новий атакувальний інструментарій (DSH-33) | | 4 | First / Last Seen per User Agent | User agent, впорядковані за першою появою — виявлення нового інструментарію (DSH-34) | | 5 | Dormant Accounts Reactivated | Ідентичності з проміжками неактивності 72+ годин, що відновили активність (DSH-37) | | 6 | Event Velocity Spikes per Identity | Ідентичності з пакетною активністю 50+ подій на годину (DSH-38) | ### 🚨 Монітор API високого ризику (HRM) | # | Назва діаграми | Опис | |---|------------|-------------| | 1 | High-Risk API Events Over Time | Щоденний обсяг викликів для API, які зазвичай спостерігаються в атакувальних кампаніях (HRM-39) | | 2 | Top High-Risk API Calls | Дії API зі списку спостереження високого ризику, ранжовані за загальною кількістю викликів (HRM-40) | | 3 | Top Actors — High-Risk APIs | Принципали IAM, ранжовані за загальною кількістю викликів API зі списку спостереження високого ризику (HRM-42) | | 4 | Top Source IPs — High-Risk APIs | Вихідні IP, ранжовані за загальною кількістю викликів API зі списку спостереження високого ризику (HRM-43) | | 5 | Defense Evasion API Events | Детальний журнал подій для API, використаних для вимкнення чи втручання в контролі аудиту (HRM-44) | | 6 | Credential Access API Events | Детальний журнал подій для API, використаних для отримання секретів та облікових даних (HRM-45) | | 7 | High-Risk API Calls by Region | Виклики API зі списку спостереження високого ризику, розподілені за регіонами AWS (HRM-46) |