1Password

다운로드 90
업데이트 2025. 4. 12.

암호 항목 영구 파기

사용자가 1Password에서 암호 항목을 영구적으로 파기 시 탐지합니다.

쿼리

1Password 감사 이벤트 중에서 항목(items) 대상으로 파기(purge) 작업 내역을 추출합니다.

| search action == "purge"
| search object_type == "items"

메시지

  • 암호 항목 영구 파기: 행위자 $user_name ($user_email)

출력 필드 순서

  • _log_time, src_ip, src_asn, user_name, user_email, action, object_type, object_name, login_time, src_country_name, src_region, src_city

위협 분석

  • 공격자는 1Password에 저장된 계정 및 암호, 보안 메모를 삭제하여 침해 사고 대응을 방해할 수 있습니다.
  • 내부자가 고의적으로 계정 및 암호, 보안 메모를 삭제하여 업무를 방해할 수 있습니다.

오탐 유형

  • 사용자가 필요에 의해 더 이상 사용되지 않는 암호 항목을 파기할 수 있습니다. 예를 들어, 기술지원팀이 업무 목적 상 고객사 크리덴셜을 잠시 보관했다가 업무 완료 후 영구적으로 해당 항목을 파기할 수 있습니다.

대응 방안

  • 백업을 이용하여 파기된 정보를 복구합니다.
  • 내부자에 의해 고의적인 삭제가 발생한 경우, 해당 계정의 권한을 제한하거나 격리합니다.
  • 공격자에 의해 파괴적 행위가 발생한 경우, 행위가 발생한 단말을 중심으로 SIEM에서 공격 경로를 추적합니다.

MITRE ATT&CK