API

AWS root account activity

Documentos > Datadog Security > OOTB Rules > AWS root account activity

Classification:

attack

Tactic:

TA0001-initial-access

Technique:

T1078-valid-accounts

Esta página aún no está disponible en español. Estamos trabajando en su traducción.
Si tienes alguna pregunta o comentario sobre nuestro actual proyecto de traducción, no dudes en ponerte en contacto con nosotros.

Goal

Detect AWS root user activity.

Strategy

Monitor CloudTrail and detect when any @userIdentity.type has a value of Root, but is not invoked by an AWS service or SAML provider.

Triage and response

Determine if the root API Call: {{@evt.name}} is expected.
If the action wasn’t legitimate, rotate the credentials, enable 2FA, and open an investigation.

For best practices, check out the AWS Root Account Best Practices documentation.
For compliance, check out the CIS AWS Foundations Benchmark controls documentation.