Configuration d'AWS CloudTrail modifiée
Rapport de recherche Datadog : Bilan sur l'adoption de l'informatique sans serveur Rapport : Bilan sur l'adoption de l'informatique sans serveur
<  Back to rules search

Configuration d'AWS CloudTrail modifiée

cloudtrail

Classification:

compliance

Framework:

cis

Control:

cis-3.5

Set up the cloudtrail integration.

Présentation

Objectif

Détecter quand une personne malveillante tente de contourner les mécanismes de défense en désactivant ou en modifiant CloudTrail.

Stratégie

Cette règle vous permet de surveiller ces appels d’API CloudTrail afin de détecter si une personne malveillante modifie ou désactive CloudTrail :

Triage et réponse

  1. Déterminez quel utilisateur de votre organisation possède la clé d’API qui a effectué cet appel d’API.
  2. Contactez l’utilisateur pour savoir s’il a réellement tenté d’effectuer cet appel d’API.
  3. Si l’utilisateur n’a pas effectué l’appel d’API :
    • Effectuez une rotation des identifiants.
    • Cherchez à savoir si ces mêmes identifiants ont été utilisés pour effectuer d’autres appels d’API non autorisés.