HFA-002 Linux auditd Sensitive File Access Log
분석 포인트
- RCE 맥락 없이
/etc/passwd접근만 있으면 suspicious로 볼 수 있다. - RCE 직후 컨테이너 맥락 또는
/etc/shadow접근이면 attack으로 승격할 수 있다.
KQL
event.action : "hanguel_sensitive_file_access"/etc/passwd 접근만 있으면 suspicious로 볼 수 있다./etc/shadow 접근이면 attack으로 승격할 수 있다.event.action : "hanguel_sensitive_file_access"