1Password

구독
다운로드 90
업데이트 2025. 4. 12.

암호 항목 대량 삭제

사용자가 평시 다른 사용자 대비하여 1Password 암호 항목을 대량으로 삭제한 경우 탐지합니다.

쿼리

서브쿼리는 최근 1개월 감사 로그를 10분 단위로 분할하여, 항목 편집 행위가 과다하게 발생한 계정 및 시간 구간을 추출합니다. 이렇게 추출된 이상 구간을 원본 감사 로그 최근 10분 내역과 대조하여 실제 행위 로그를 근거 내역으로 추출합니다.

table duration=10m *:AUTH_1PASSWORD*      
| search action == "patch" and object_type == "items"     
| eval user = user_email 
| eval slot_time = datetrunc(_time, "10m")     
| join user_uuid, slot_time               
    [ table duration=1mon *:AUTH_1PASSWORD*                  
    | search action == "patch" and object_type == "items"                 
    | eval slot_time = datetrunc(_time, "10m")                 
    | stats count, dc(object_uuid) as vault_count by slot_time, src_ip, user_uuid, user_name, user_email                 
    | lof eps=0.01 count, vault_count                 
    | search _lof >= 2 and slot_time >= ago("10m")      
    | fields _lof, user_uuid, slot_time ]

메시지

  • 암호 항목 대량 삭제: 행위자 $user_name ($user_email)

출력 필드 순서

  • _log_time, _lof, src_ip, src_asn, user_name, user_email, action, object_type, user_uuid

위협 분석

  • 공격자는 1Password에 저장된 계정 및 암호, 보안 메모를 삭제하여 침해 사고 대응을 방해할 수 있습니다.
  • 내부자가 고의적으로 계정 및 암호, 보안 메모를 삭제하여 업무를 방해할 수 있습니다.

오탐 유형

  • 항목을 대량으로 생성하거나 수정한 경우에도 탐지됩니다. 아쉽지만 1Password의 로그 기록 방식 상 삭제 작업만 구분할 방법이 없습니다.
  • 사용자가 필요에 의해 더 이상 사용되지 않는 암호 항목을 삭제할 수 있습니다.

대응 방안

  • 삭제된 항목이 영구 파기된 상태가 아니므로 최근 삭제된 항목 메뉴에서 삭제된 항목을 복원할 수 있습니다.
  • 내부자에 의해 고의적인 삭제가 발생한 경우, 해당 계정의 권한을 제한하거나 격리합니다.
  • 공격자에 의해 파괴적 행위가 발생한 경우, 행위가 발생한 단말을 중심으로 SIEM에서 공격 경로를 추적합니다.

MITRE ATT&CK