T1562.008: Отключение или перенастройка облачного журналирования

Злоумышленник может отключить или перенастроить функции ведения облачного журнала и его интеграции, чтобы ограничить сбор данных о своих действиях и избежать обнаружения. Облачные среды позволяют собирать и анализировать журналы аудита и приложений, которые дают представление о действиях пользователей в этих средах. При наличии соответствующих разрешений злоумышленник может отключить или перенастроить ведение журнала, чтобы скрыть свои действия.

Например, перед началом вредоносной активности в облаке AWS злоумышленник может отключить интеграции CloudWatch и (или) CloudTrail. В качестве альтернативы они могут попытаться нарушить функциональность ведения журналов, например удалив любые связанные темы SNS, отключив мультирегиональное ведение журналов или выключив настройки, проверяющие подлинность и (или) шифрующие файлы журналов. В Microsoft 365 злоумышленник может отключить журналирование действий по сбору почты для определенных пользователей, воспользовавшись командлетом Set-MailboxAuditBypassAssociation, отключив для конкретного пользователя расширенный аудит M365 или понизив его лицензию с уровня Enterprise E5 до Enterprise E3.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-1263: Yandex_Cloud_PostgreSQL_Cluster_Log_Statement_Disable: Пользователь отключил логирование в кластере vmware_aria: PT-CR-2375: AOFL_Added_New_Log_Filter: Действие с фильтром журналов может свидетельствовать о попытке ограничить данные, собираемые с объектов мониторинга Aria Operations for Logs

Способы обнаружения

ID	DS0025	Источник и компонент данных	Облачная служба: Изменения в облачной службе	Описание	Отслеживайте неожиданные изменения настроек и (или) данных облачных служб.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Изменения в учетной записи	Описание	Отслеживайте изменения в настройках учетных записей тех пользователей или тенантов, которые могут повлиять на функции ведения журналов в средствах защиты, — например, события `Изменить пользователя` и `Изменить лицензию пользователя` в журнале аудита Azure AD.

ID	DS0025	Источник и компонент данных	Облачная служба: Отключение облачной службы	Описание	Отслеживайте в журналах вызовы API, направленные на отключение журналирования. В AWS отслеживайте такие записи, как `StopLogging`, `UpdateTrail` и `DeleteTrail`. В GCP отслеживайте `google.logging.v2.ConfigServiceV2.UpdateSink` и `google.logging.v2.ConfigServiceV2.DeleteSink`. В Azure отслеживайте `az monitor diagnostic-settings update` и `az monitor diagnostic-settings delete`. Кроме того, неожиданная потеря источника журнала может указывать на отключение журналирования.

ID	Источник и компонент данных	Описание
DS0025	Облачная служба: Изменения в облачной службе	Отслеживайте неожиданные изменения настроек и (или) данных облачных служб.
DS0002	Учетная запись пользователя: Изменения в учетной записи	Отслеживайте изменения в настройках учетных записей тех пользователей или тенантов, которые могут повлиять на функции ведения журналов в средствах защиты, — например, события `Изменить пользователя` и `Изменить лицензию пользователя` в журнале аудита Azure AD.
DS0025	Облачная служба: Отключение облачной службы	Отслеживайте в журналах вызовы API, направленные на отключение журналирования. В AWS отслеживайте такие записи, как `StopLogging`, `UpdateTrail` и `DeleteTrail`. В GCP отслеживайте `google.logging.v2.ConfigServiceV2.UpdateSink` и `google.logging.v2.ConfigServiceV2.DeleteSink`. В Azure отслеживайте `az monitor diagnostic-settings update` и `az monitor diagnostic-settings delete`. Кроме того, неожиданная потеря источника журнала может указывать на отключение журналирования.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Включите журналирование в политике для учетных записей по умолчанию. Настройте политики так, чтобы право вносить изменения в политики журналирования было только у тех пользователей, которым оно необходимо.

ID	Название	Описание
M1018	Управление учетными записями	Включите журналирование в политике для учетных записей по умолчанию. Настройте политики так, чтобы право вносить изменения в политики журналирования было только у тех пользователей, которым оно необходимо.