T1562.008: Отключение или перенастройка облачного журналирования
Злоумышленник может отключить или перенастроить функции ведения облачного журнала и его интеграции, чтобы ограничить сбор данных о своих действиях и избежать обнаружения. Облачные среды позволяют собирать и анализировать журналы аудита и приложений, которые дают представление о действиях пользователей в этих средах. При наличии соответствующих разрешений злоумышленник может отключить или перенастроить ведение журнала, чтобы скрыть свои действия.
Например, перед началом вредоносной активности в облаке AWS злоумышленник может отключить интеграции CloudWatch и (или) CloudTrail. В качестве альтернативы они могут попытаться нарушить функциональность ведения журналов, например удалив любые связанные темы SNS, отключив мультирегиональное ведение журналов или выключив настройки, проверяющие подлинность и (или) шифрующие файлы журналов. В Microsoft 365 злоумышленник может отключить журналирование действий по сбору почты для определенных пользователей, воспользовавшись командлетом Set-MailboxAuditBypassAssociation
, отключив для конкретного пользователя расширенный аудит M365 или понизив его лицензию с уровня Enterprise E5 до Enterprise E3.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
yandex_cloud: PT-CR-1263: Yandex_Cloud_PostgreSQL_Cluster_Log_Statement_Disable: Пользователь отключил логирование в кластере
Способы обнаружения
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Изменения в учетной записи | Описание | Monitor for changes to account settings associated with users/tenants that may impact defensive logging capabilities, such as the |
---|
ID | DS0025 | Источник и компонент данных | Облачная служба: Изменения в облачной службе | Описание | Monitor changes made to cloud services for unexpected modifications to settings and/or data |
---|
ID | DS0025 | Источник и компонент данных | Облачная служба: Отключение облачной службы | Описание | Monitor logs for API calls to disable logging. In AWS, monitor for: |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Configure default account policy to enable logging. Manage policies to ensure only necessary users have permissions to make changes to logging policies. |
---|