KB-001 Kubernetes API Audit Log
Kubernetes API Server audit log로 ClusterDrain의 리소스 조회, Secret 접근, Pod exec, Pod 생성, RBAC 변경을 수동 탐지한다.
T1613
T1552.007
T1609
T1610
T1098.006
SB-05 Campaign Logs
이 페이지는 ClusterDrain에서 실제로 참조하는 로그만 모아 보여준다. 전체 팀 공통 로그 목록은 Global Log Catalog에서 확인한다.
LX-001 Deploy Host Auditd Log
침해된 배포/운영 지점의 Linux auditd 로그로 staging, archive 생성, AWS CLI 업로드 준비 행위를 수동 탐지한다.
T1074.001
T1560.001
T1567.002
AWS-001 CloudTrail S3 Data Event
AWS CloudTrail S3 Data Event로 ClusterDrain의 private S3 bucket 업로드를 수동 탐지한다.
T1567.002