Microsoft Azure

구독
다운로드 38
업데이트 2024. 11. 3.

Azure 이벤트 허브 삭제

Azure Activity Logs에서 이벤트 허브 삭제 성공 감사 로그를 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Azure Activity 관리
  • 대상 수집모델: Azure Activity Logs
  • 메시지
    • Azure 이벤트 허브 삭제: $eventhub_namespace/$eventhub_name (계정 $user)
  • 출력 필드 순서
    • _log_time, src_ip, user_type, user, category, operation_name, subscription, eventhub_namespace, eventhub_name, result_type, duration

쿼리

Azure Activity Administrative 로그에서 성공한 MICROSOFT.EVENTHUB/NAMESPACES/EVENTHUBS/DELETE 작업을 탐지합니다. 대상 객체 경로에서 구독, 이벤트허브 네임스페이스, 이벤트허브 이름을 정규식으로 추출합니다.

| search operation_name == "MICROSOFT.EVENTHUB/NAMESPACES/EVENTHUBS/DELETE" and result_type == "Success"
| rex field=entity "/subscriptions/(?<subscription>[^/]*?)/.*?/Microsoft.EventHub/namespaces/(?<eventhub_namespace>[^/]*?)/eventhubs/(?<eventhub_name>.*)$"

위협 분석

  • Azure 모니터의 진단 설정에 연결된 이벤트 허브가 삭제되면 실시간 로그 수집을 비활성화 할 수 있습니다.
  • 더 이상 Azure 로그가 수신되지 않으므로 공격자는 SIEM의 탐지를 회피할 수 있습니다.

오탐 유형

  • 모든 이벤트 허브 삭제를 탐지하기 때문에, 정상적인 이벤트 허브 작업도 위협으로 탐지할 수 있습니다.
    • 감사 로그에 기록된 계정 사용자에게 이벤트 허브 삭제가 예정된 작업이었는지 확인합니다.

대응 방안

  • 의도하지 않은 삭제가 발생했다면 클라우드 관리 계정이 침해된 것이므로, 계정을 비활성화하고 계정 이름과 IP 주소를 기준으로 다른 의심스러운 활동이 있었는지 심층적으로 점검합니다.
    • 암호와 MFA 설정을 변경한 후 특정 위치에서만 로그인 할 수 있도록 조치합니다.
  • 삭제된 이벤트 허브를 다시 생성합니다. 특히 로그 수집과 관련된 이벤트 허브가 삭제된 경우, Azure 모니터의 진단 설정을 복구합니다.

MITRE ATT&CK