AWS CloudTrail コンフィギュレーションの変更
Dash が新機能を発表!インシデントマネジメント、Continuous Profiler など多数の機能が追加されました! Dash イベントで発表された新機能!
<  Back to rules search

AWS CloudTrail コンフィギュレーションの変更

cloudtrail

Classification:

コンプライアンス

Framework:

cis-aws

Control:

cis-3.5

Set up the cloudtrail integration.

概要

目標

CloudTrail を無効化または変更することにより、攻撃者が防御を回避しようとしていることを検出します。

戦略

このルールにより、次の CloudTrail API 呼び出しを監視して、攻撃者が CloudTrail を変更または無効化しているかどうかを検出できます。

トリアージと対応

  1. この API 呼び出しを行った API キーを所有している組織内のユーザーを特定します。
  2. ユーザーに連絡して、この API 呼び出しを行うつもりであったかどうかを確認します。
  3. ユーザーが API 呼び出しを行わなかった場合
    • 資格情報をローテーションします。
    • 同じ資格情報が他の不正な API 呼び出しを行ったかどうかを調べます。