Microsoft Azure

다운로드 24
업데이트 2024. 10. 1.

Azure 방화벽 정책 삭제

Azure Activity Logs에서 방화벽 정책 삭제 감사 로그를 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Azure Activity 관리
  • 대상 수집모델: Azure Activity Logs
  • 메시지
    • Azure 방화벽 정책 삭제: $policy_name (계정 $user)
  • 출력 필드 순서
    • _log_time, src_ip, user_type, user, category, operation_name, subscription, policy_name, result_type, duration

쿼리

Azure Activity Administrative 로그에서 성공한 MICROSOFT.NETWORK/FIREWALLPOLICIES/DELETE 작업을 탐지합니다. 대상 객체 경로에서 구독, 방화벽 정책 이름을 정규식으로 추출합니다.

| search operation_name == "MICROSOFT.NETWORK/FIREWALLPOLICIES/DELETE" and result_type == "Success"
| rex field=entity "/subscriptions/(?<subscription>[^/]*?)/.*?/Microsoft.Network/firewallPolicies/(?<policy_name>[^/]*?)$"

위협 분석

  • 공격자는 방화벽 정책을 삭제하여 네트워크 방어를 무력화하고 목표 대상에 접속할 수 있습니다.

오탐 유형

  • 모든 방화벽 정책 삭제를 탐지하기 때문에, 정상적인 방화벽 정책 삭제 작업도 위협으로 탐지할 수 있습니다.
    • 감사 로그에 기록된 계정 사용자에게 해당 방화벽 정책 삭제가 예정된 작업이었는지 확인합니다.

대응 방안

  • 의도하지 않은 삭제가 발생했다면 클라우드 관리 계정이 침해된 것이므로, 계정을 비활성화하고 계정 이름과 IP 주소를 기준으로 다른 의심스러운 활동이 있었는지 심층적으로 점검합니다.
    • 암호와 MFA 설정을 변경한 후 특정 위치에서만 로그인 할 수 있도록 조치합니다.
  • 삭제된 방화벽 정책 설정을 복구합니다.
  • Azure 방화벽에서 공격자 IP 주소를 차단 설정합니다.

MITRE ATT&CK