AWS CloudWatch 日志组删除

识别指定 AWS CloudWatch 日志组的删除操作。当一个日志组被删除时，与该日志组关联的所有已存档的日志事件也将被永久删除。

规则类型: 查询

规则索引:

严重程度: 中

风险评分: 47

运行频率: 10 分钟

搜索索引时间范围: now-60m (日期数学格式, 另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

版本: 209

规则作者:

规则许可: Elastic License v2

分类和分析

调查 AWS CloudWatch 日志组删除事件

Amazon CloudWatch 是一种监控和可观测性服务，它以日志、指标和事件的形式收集资源和应用程序的监控和运营数据。这些数据可用于检测环境中异常行为，设置告警，并排可视化日志和指标，采取自动化操作，排除故障并发现见解，以保持应用程序平稳运行。

日志组是共享相同保留期、监控和访问控制设置的日志流组。您可以定义日志组并指定将哪些流放入每个组。一个日志组可以包含的日志流数量没有限制。

此规则查找使用 API DeleteLogGroup 操作删除日志组的行为。攻击者可以这样做来掩盖他们的踪迹并影响依赖这些来源的安全监控。

可能的调查步骤

误报分析

响应和补救

根据分类结果启动事件响应流程。
在调查和响应期间禁用或限制该帐户。
确定事件可能造成的影响并相应地确定优先级；以下操作可以帮助您获取上下文
确定云环境中帐户的角色。
评估受影响的服务和服务器的严重性。
与您的 IT 团队合作，以识别并最大限度地减少对用户的影响。
确定攻击者是否正在横向移动并破坏其他帐户、服务器或服务。
确定与此活动相关的任何监管或法律影响。
调查在被攻击者破坏或使用的系统上的凭据泄露情况，以确保识别所有被破坏的帐户。根据需要重置密码或删除 API 密钥，以撤销攻击者对环境的访问权限。在这些操作期间，与您的 IT 团队合作，以最大限度地减少对业务运营的影响。
检查是否创建了未经授权的新用户，删除未经授权的新帐户，并请求其他 IAM 用户重置密码。
考虑为用户启用多因素身份验证。
审查分配给涉案用户的权限，以确保遵循最小权限原则。
实施 AWS 概述的安全最佳实践。
采取必要措施，使受影响的系统、数据或服务恢复到正常的运行水平。
确定攻击者滥用的初始向量，并采取行动防止通过相同向量再次感染。
使用事件响应数据，更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

需要 AWS Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

event.dataset:aws.cloudtrail and event.provider:logs.amazonaws.com and event.action:DeleteLogGroup and event.outcome:success

框架: MITRE ATT&CK^TM

策略
- 名称: 影响
- ID: TA0040
- 参考 URL: https://attack.mitre.org/tactics/TA0040/
技术
- 名称: 数据破坏
- ID: T1485
- 参考 URL: https://attack.mitre.org/techniques/T1485/
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称: 削弱防御
- ID: T1562
- 参考 URL: https://attack.mitre.org/techniques/T1562/
子技术
- 名称: 禁用或修改工具
- ID: T1562.001
- 参考 URL: https://attack.mitre.org/techniques/T1562/001/