AWS CloudTrail コンフィギュレーションの変更
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

AWS CloudTrail コンフィギュレーションの変更

cloudtrail

Classification:

コンプライアンス

Framework:

cis-aws

Control:

cis-3.5

Set up the cloudtrail integration.

概要

目標

CloudTrail を無効化または変更することにより、攻撃者が防御を回避しようとしていることを検出します。

戦略

このルールにより、次の CloudTrail API 呼び出しを監視して、攻撃者が CloudTrail を変更または無効化しているかどうかを検出できます。

トリアージと対応

  1. この API 呼び出しを行った API キーを所有している組織内のユーザーを特定します。
  2. ユーザーに連絡して、この API 呼び出しを行うつもりであったかどうかを確認します。
  3. ユーザーが API 呼び出しを行わなかった場合
  • 資格情報をローテーションします。
  • 同じ資格情報が他の不正な API 呼び出しを行ったかどうかを調べます。