MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1562.008: Отключение или перенастройка облачного журналирования

Злоумышленник может отключить или перенастроить функции ведения облачного журнала и его интеграции, чтобы ограничить сбор данных о своих действиях и избежать обнаружения. Облачные среды позволяют собирать и анализировать журналы аудита и приложений, которые дают представление о действиях пользователей в этих средах. При наличии соответствующих разрешений злоумышленник может отключить или перенастроить ведение журнала, чтобы скрыть свои действия.

Например, перед началом вредоносной активности в облаке AWS злоумышленник может отключить интеграции CloudWatch и (или) CloudTrail. В качестве альтернативы они могут попытаться нарушить функциональность ведения журналов, например удалив любые связанные темы SNS, отключив мультирегиональное ведение журналов или выключив настройки, проверяющие подлинность и (или) шифрующие файлы журналов. В Microsoft 365 злоумышленник может отключить журналирование действий по сбору почты для определенных пользователей, воспользовавшись командлетом Set-MailboxAuditBypassAssociation, отключив для конкретного пользователя расширенный аудит M365 или понизив его лицензию с уровня Enterprise E5 до Enterprise E3.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-1263: Yandex_Cloud_PostgreSQL_Cluster_Log_Statement_Disable: Пользователь отключил логирование в кластере

Способы обнаружения

IDDS0002Источник и компонент данныхУчетная запись пользователя: Изменения в учетной записиОписание

Monitor for changes to account settings associated with users/tenants that may impact defensive logging capabilities, such as the Update User and Change User License events in the Azure AD audit log.

IDDS0025Источник и компонент данныхОблачная служба: Изменения в облачной службеОписание

Monitor changes made to cloud services for unexpected modifications to settings and/or data

IDDS0025Источник и компонент данныхОблачная служба: Отключение облачной службыОписание

Monitor logs for API calls to disable logging. In AWS, monitor for: StopLogging, UpdateTrail DeleteTrail. In GCP, monitor for: google.logging.v2.ConfigServiceV2.UpdateSink and google.logging.v2.ConfigServiceV2.DeleteSink. In Azure, monitor for az monitor diagnostic-settings update and az monitor diagnostic-settings delete. Additionally, a sudden loss of a log source may indicate that it has been disabled.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Configure default account policy to enable logging. Manage policies to ensure only necessary users have permissions to make changes to logging policies.