Home / Log Catalog / HFC-001

HFC-001 CloudTrail Management Event

Source Alias:

AWSL-003

Trail:

hanguel-management-trail

S3 bucket:

hanguel-cloudtrail-589138971978-apne2

현재 상태:

Multi-region trail

ELK 연동:

현재 핵심 대시보드에는 직접 ingest되지 않음

커버 Technique:

T1078, T1098, T1562, Cloud account activity

분석 포인트

AWS API 사용, IAM/보안그룹 변경, EC2 start/stop, CloudTrail/WAF/GuardDuty 설정 변경을 추적할 수 있다.
본 시나리오에서는 Cloud 침해 확장 단계의 증거로 사용한다.