T1562.008
غیرفعال یا تغییر لاگهای ابری
Disable or Modify Cloud Logsتوضیحات
مهاجمان logging در محیطهای ابری را غیرفعال یا تغییر میدهند تا فعالیتهای مخرب ثبت نشوند. این شامل غیرفعال کردن CloudTrail در AWS، Azure Monitor و سایر سرویسهای logging ابری میشود.
روشهای شناسایی
نظارت بر وضعیت logging ابری. شناسایی غیرفعال شدن CloudTrail. بررسی تغییرات تنظیمات logging. تحلیل لاگهای IAM.
روشهای مقابله
نظارت بر وضعیت logging ابری. محدود کردن دسترسی به تغییر logging. استفاده از MFA. پیادهسازی immutable logging. استفاده از CSPM.
تکنیک اصلی
T1562Impair Defenses
اختلال در دفاع
مهاجمان قابلیتهای دفاعی را غیرفعال یا تضعیف میکنند تا از شناسایی جلوگیری کنند. این تکنیک شامل غیرفعال کردن آنتیویروس، EDR، فایروال، logging و سایر ابزارهای امنیتی میشود. مهاجمان اغلب این کار را قبل از اجرای مرحله اصلی حمله انجام میدهند.