AWS CloudTrail コンフィギュレーションの変更

Classification:

コンプライアンス

Framework:

cis-aws

Control:

cis-3.5

Set up the cloudtrail integration.

概要

目標

CloudTrail を無効化または変更することにより、攻撃者が防御を回避しようとしていることを検出します。

戦略

このルールにより、次の CloudTrail API 呼び出しを監視して、攻撃者が CloudTrail を変更または無効化しているかどうかを検出できます。

• DeleteTrail
• UpdateTrail
• StopLogging

トリアージと対応

1. この API 呼び出しを行った API キーを所有している組織内のユーザーを特定します。
2. ユーザーに連絡して、この API 呼び出しを行うつもりであったかどうかを確認します。
3. ユーザーが API 呼び出しを行わなかった場合
   • 資格情報をローテーションします。
   • 同じ資格情報が他の不正な API 呼び出しを行ったかどうかを調べます。