HFA-003 Linux auditd Docker Socket Access Log

Source Alias:

AUD-003

원본 경로:

/var/log/audit/audit.log

auditd key:

hanguel_docker_socket

감시 대상:

/var/run/docker.sock

주요 event.action:

hanguel_docker_socket_access

커버 Technique:

T1611

분석 포인트

컨테이너 탈출 또는 host Docker 제어 시도 가능성을 보여주는 고위험 증거다.
현재 환경에서는 조건부 관측 Technique이며, 실제 공격 시나리오에 Docker socket 접근 단계를 추가하면 더 강하게 설명할 수 있다.

event.action : "hanguel_docker_socket_access"