Azure 방화벽 정책 삭제
Azure Activity Logs에서 방화벽 정책 삭제 감사 로그를 탐지합니다.
개요
- 중요도: 상
- 유형: 실시간 탐지
- 로그 스키마: Azure Activity 관리
- 대상 수집모델: Azure Activity Logs
- 메시지
- Azure 방화벽 정책 삭제: $policy_name (계정 $user)
- 출력 필드 순서
- _log_time, src_ip, user_type, user, category, operation_name, subscription, policy_name, result_type, duration
쿼리
Azure Activity Administrative 로그에서 성공한 MICROSOFT.NETWORK/FIREWALLPOLICIES/DELETE 작업을 탐지합니다. 대상 객체 경로에서 구독, 방화벽 정책 이름을 정규식으로 추출합니다.
| search operation_name == "MICROSOFT.NETWORK/FIREWALLPOLICIES/DELETE" and result_type == "Success"
| rex field=entity "/subscriptions/(?<subscription>[^/]*?)/.*?/Microsoft.Network/firewallPolicies/(?<policy_name>[^/]*?)$"
위협 분석
- 공격자는 방화벽 정책을 삭제하여 네트워크 방어를 무력화하고 목표 대상에 접속할 수 있습니다.
오탐 유형
- 모든 방화벽 정책 삭제를 탐지하기 때문에, 정상적인 방화벽 정책 삭제 작업도 위협으로 탐지할 수 있습니다.
- 감사 로그에 기록된 계정 사용자에게 해당 방화벽 정책 삭제가 예정된 작업이었는지 확인합니다.
대응 방안
- 의도하지 않은 삭제가 발생했다면 클라우드 관리 계정이 침해된 것이므로, 계정을 비활성화하고 계정 이름과 IP 주소를 기준으로 다른 의심스러운 활동이 있었는지 심층적으로 점검합니다.
- 암호와 MFA 설정을 변경한 후 특정 위치에서만 로그인 할 수 있도록 조치합니다.
- 삭제된 방화벽 정책 설정을 복구합니다.
- Azure 방화벽에서 공격자 IP 주소를 차단 설정합니다.
MITRE ATT&CK
- 전술
- Defense Evasion
- 기법
- 이름: Impair Defenses: Disable or Modify Cloud Firewall
- ID: T1562.007
- 참조 URL: https://attack.mitre.org/techniques/T1562/007/