Spacebar Campaigns
Home / Log Catalog

Log Catalog

각 로그 문서는 원본 위치, 수집 방식, 로그 포맷, 주요 필드 의미, 커버 가능한 Technique을 분리해 정리한다. Campaign Detection Map은 이 Log ID를 참조하고, Log Catalog는 어떤 Technique과 연결되는지 역매핑한다.

AWSL-001 AWS VPC Flow Log

AWS VPC 네트워크 흐름에서 외부 전송과 서버 간 통신을 확인하는 로그.

T1048.002 T1021.004

HFA-001 Linux auditd Execve Log

Linux auditd execve 이벤트로 shell/python 실행, discovery 명령, tool transfer 명령을 확인하는 로그.

T1059 T1059.004 T1059.006 T1082 T1083 T1105

HFC-001 CloudTrail Management Event

AWS API 사용, IAM/보안그룹 변경, EC2 start/stop, CloudTrail/WAF/GuardDuty 설정 변경을 추적하는 보조 로그.

T1078 T1098 T1562

HFE-001 Logstash Ingested Event

Logstash HTTP input으로 수집된 Hanguel IR Agent 이벤트의 수집 상태와 저장 index를 확인하는 로그.

T1190 T1059 T1082 T1083 T1005 T1105

HFE-002 Sequential Correlator Alert

시간창 내 복수 이벤트를 묶어 RCE confirmed, RCE to collection, recon to exploit 같은 incident 후보를 생성하는 상관분석 알림.

T1595 T1190 T1059 T1005 T1105 T1611

HFL-001 Langflow/Nginx Access Log

Langflow 앞단 Nginx 및 Docker JSON access log에서 API 접근, 스캐닝, 취약 API 호출, path traversal, SSRF 의심 요청을 확인하는 로그.

T1595 T1190 T1005 T1059

HFL-002 Langflow App Container Log

Langflow application/container stdout에서 application error, command output, discovery command 흔적을 확인하는 로그.

T1059 T1059.006 T1082 T1083 T1005 T1105

HFL-003 Hanguel IR Agent Enriched Event

Hanguel IR Agent가 Docker log, host log, auditd log를 ECS 유사 JSON으로 enrich하여 Logstash로 전송한 정규화 이벤트.

T1595 T1190 T1059.006 T1059.004 T1082 T1083 T1005 T1003 T1105 T1611 T1110 T1078

HFL-004 Linux SSH Auth Log

Linux `/var/log/auth.log`에서 SSH 실패, 성공, 세션 이벤트를 확인하는 로그. 현재 Hanguel agent는 실패 탐지가 우선 구현되어 있다.

T1110 T1021.004 T1078

HFW-001 AWS WAF Log

ALB 앞단 AWS WAF에서 web attack, scanning, known bad input 판단을 확인하는 보조 로그.

T1190 T1595

HFW-002 VPC Flow Log

VPC 네트워크 흐름에서 내부 통신, 외부 통신, C2 의심 연결, 비정상 egress를 분석하는 보조 로그.

T1041 T1048 T1021 T1595 T1105