HFL-002 Langflow App Container Log

Source Alias:

HL-002

발생 위치:

hanguel-langflow container

원본 위치:

Docker container JSON log

수집 방식:

hanguel-ir-agent Docker log polling

커버 Technique:

T1059, T1082, T1083, T1005, T1105

주요 필드

whoami, id, hostname, uname -a, ls -la, cat /etc/passwd 같은 명령 실행 결과가 app/container log 또는 auditd에 남을 수 있다.
단순 application error는 공격 증거가 아니며, HTTP 직접 API 접근 또는 auditd execve와 묶어서 봐야 한다.

event.action : "command_discovery"