HAB-001 Bastion SSH Auth Log
bastion을 통한 내부망 진입과 SSH 세션 성공/실패를 확인하는 Linux 인증 로그.
T1133
T1078
SB-07 Campaign Logs
이 페이지는 OZZY PMS Chain에서 실제로 참조하는 로그만 모아 보여준다. 전체 팀 공통 로그 목록은 Global Log Catalog에서 확인한다.
HAP-001 PMS JBoss and Update Relay HTTP Log
hanguel-ops-pms의 JBoss 취약 표면 접근, PMS update manifest/patch 조회, relay 접근을 확인하는 HTTP 로그.
T1046
T1190
T1083
T1195.002
T1036.005
HAC-001 Hanguel AD Sequential Correlator Alert
hanguel-alerts-* 인덱스에 생성되는 SB-07 sequential correlation alert와 rule.id를 확인하는 상관분석 로그.
T1195.002
T1552
T1021.006
T1021.002
T1620
T1003.001
HAP-002 PMS Patch Manifest and Hash Evidence
PMS 업데이트 manifest와 patch.ps1의 버전, 해시, 파일 경로 변화를 기록하는 공급망 변조 증거.
T1195.002
T1036.005
T1053.005
HAW-001 Win01 Hanguel AD Agent Enriched Event
win01에서 PMS patch 실행, AD/DC discovery, credential artifact 발견, WinRM/C$ 접근 검증을 정규화해 ELK로 전송하는 이벤트.
T1053.005
T1082
T1482
T1018
T1552
T1021.006
T1021.002
HAW-003 Windows Task Scheduler Operational Log
win01 PMS Agent scheduled task와 DC loader diagnostic task 등록/실행을 확인하는 Windows 작업 스케줄러 로그.
T1053.005
T1021.006
T1620
T1003.001
HTE-002 SB-07 Attack Traffic Emulation Event
PMS patch 실행, AD/DC discovery, credential artifact, WinRM/C$ 접근 흐름을 안전하게 재현해 correlation rule을 검증하는 emulation 이벤트.
T1053.005
T1082
T1482
T1018
T1552
T1021.006
T1021.002
HAW-002 Win01 PowerShell Operational Log
win01에서 Import-Clixml, Invoke-Command, New-PSDrive 등 PowerShell 기반 credential 사용과 DC 접근을 확인하는 로그.
T1552
T1021.006
T1021.002
T1003.001
T1620
HAC-002 AWS Control-Plane Local Admin Bridge Verification
AWS GetPasswordData로 win01 EC2 local Administrator 컨텍스트를 확인하고, dc_cred.xml Import-Clixml 및 DC WinRM/C$ 접근을 비밀 출력 없이 검증하는 수동/선택적 collector 로그.
T1078.004
T1078.003
T1021.001
T1552
T1021.006
T1021.002
HAW-004 Windows Security Process Creation Log
Windows Security 4688 또는 process creation telemetry로 rdrleakdiag, comsvcs, loader 실행 흔적을 확인하는 로그.
T1003.001
T1620
T1027
HAD-002 DC Loader and Dump Artifact Evidence
DC에 배치된 hgl_loader.exe, hgl_payload.enc, hgl_run.cmd, hgl_diag.bin 같은 loader/dump 산출물을 요약하는 증거.
T1620
T1027
T1003.001
HAD-004 DC Loader Run Log
hgl_run.cmd가 생성한 hgl_loader_run.log를 요약하여 encrypted payload 복호화와 entry point 실행 정황을 확인하는 커스텀 실행 로그.
T1620
T1027
T1003.001
HAD-009 DC NTFS USN Journal Artifact
USN Journal에서 hgl_loader.exe, hgl_payload.enc, hgl_run.cmd 파일 생성/갱신 lifecycle을 요약하는 포렌식 아티팩트.
T1105
T1620
T1027
T1003.001
HAD-003 DC Sysmon Operational Log
DC에서 hgl_loader.exe의 lsass.exe 접근, dump 파일 생성, suspicious image load를 직접 증명하기 위한 Sysmon 로그.
T1003.001
T1620
T1055
HAD-005 DC Application Error and WER Event
Application 로그 Event ID 1000/1001에서 hgl_loader.exe crash와 unknown module 정황을 확인하는 Windows 원본 로그.
T1620
T1003.001
HAD-006 DC Amcache Artifact
Amcache.hve에서 hgl_loader.exe 경로, PE architecture, application compatibility inventory 흔적을 확인하는 포렌식 아티팩트.
T1620
T1027
HAD-007 DC ShimCache AppCompatCache Artifact
SYSTEM AppCompatCache registry value에서 hgl_loader.exe 경로 참조를 확인하는 실행 흔적 계열 포렌식 아티팩트.
T1620
T1027
HAD-008 DC TaskCache Registry and Task XML Artifact
HanguelLoaderDiag scheduled task의 TaskCache registry와 Task XML action을 확인하는 DC 포렌식 아티팩트.
T1053.005
T1620
T1003.001
HTE-001 SB-07 Normal Traffic Emulation Event
정상 PMS manifest 조회, DNS lookup, WinRM reachability 같은 baseline 행위를 만들어 normal 태그를 검증하는 emulation 이벤트.
T1082
T1018