암호 항목 영구 파기
사용자가 1Password에서 암호 항목을 영구적으로 파기 시 탐지합니다.
쿼리
1Password 감사 이벤트 중에서 항목(items) 대상으로 파기(purge) 작업 내역을 추출합니다.
메시지
- 암호 항목 영구 파기: 행위자 $user_name ($user_email)
출력 필드 순서
- _log_time, src_ip, src_asn, user_name, user_email, action, object_type, object_name, login_time, src_country_name, src_region, src_city
위협 분석
- 공격자는 1Password에 저장된 계정 및 암호, 보안 메모를 삭제하여 침해 사고 대응을 방해할 수 있습니다.
- 내부자가 고의적으로 계정 및 암호, 보안 메모를 삭제하여 업무를 방해할 수 있습니다.
오탐 유형
- 사용자가 필요에 의해 더 이상 사용되지 않는 암호 항목을 파기할 수 있습니다. 예를 들어, 기술지원팀이 업무 목적 상 고객사 크리덴셜을 잠시 보관했다가 업무 완료 후 영구적으로 해당 항목을 파기할 수 있습니다.
대응 방안
- 백업을 이용하여 파기된 정보를 복구합니다.
- 내부자에 의해 고의적인 삭제가 발생한 경우, 해당 계정의 권한을 제한하거나 격리합니다.
- 공격자에 의해 파괴적 행위가 발생한 경우, 행위가 발생한 단말을 중심으로 SIEM에서 공격 경로를 추적합니다.
MITRE ATT&CK
- 전술
- Impact
- 기법
- 이름: Data Destruction
- ID: T1485
- 참조 URL: https://attack.mitre.org/techniques/T1485/