k2-ornata(個人的「やってみたこと」ブログ)

Azureのログ削除の可能性と検知方法について(T1070.001)

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

1.Azureログの削除の可能性について

Azureではログの削除はかなり難しいようだが、ログを出力しない、もしくは期間を短くするといったことはできるので、それを検知する方法も考えられる。

以下、Chat GPTに聞いてみた答え。

Azure環境では、一般的にログの削除は難しいとされていますが、特定の攻撃や脆弱性によって、ログの消失や記録されない可能性があるシナリオも考えられます。以下にいくつかの可能性を示します。
1. ログの記録が行われない場合

    特権昇格と設定変更: 攻撃者が管理者権限を取得し、監査設定を無効にしたり、ログ記録の設定を変更したりすることが考えられます。これにより、特定のイベントがログに記録されなくなる可能性があります。
    ログ生成の回避: 一部の攻撃手法では、ログが生成されないようにすることがあります。たとえば、メモリ内での攻撃(インメモリ攻撃)や、セキュリティツールが検知しにくい方法で操作を行うことで、ログに残さないようにする手法です。

2. ログ転送や保存の中断

    ログ転送の妨害: ログを中央のログ管理システムやSIEM(例: Azure Sentinel)に転送する設定がある場合、攻撃者がログ転送を妨害したり、設定を変更してログが転送されないようにする可能性があります。
    保存期間の変更: 攻撃者がログの保存期間を短縮し、迅速に削除されるよう設定を変更することで、ログを早期に消去する可能性も考えられます。

3. サービスやインフラの脆弱性

    クラウドサービスの脆弱性: 理論的には、Azureのサービス自体に脆弱性が存在する場合、その脆弱性を悪用してログを削除する可能性がありますが、これには高度な技術が必要ですし、Azureのような大規模なクラウドサービスでは通常、このような脆弱性は迅速に修正されます。
    内部脅威: 内部の悪意のあるユーザーが、不正なアクセスや誤った設定変更によってログを消去または無効化する可能性もゼロではありません。ただし、これも一般的には難しい操作です。

4. 第三者サービスのログ削除

    統合されたサードパーティ製のログ管理ツール: Azureと統合されたサードパーティのログ管理ツールやサービスにおいて、攻撃者がその環境の設定を変更したり、脆弱性を突いたりしてログを削除することも理論上可能です。

対策

    アクセス制御の強化: 管理者権限やアクセス制御リスト(ACL)を厳密に管理し、不要なアクセスを最小限に抑えます。
    監査と監視の強化: Azure MonitorやAzure Sentinelを使って、監査ログや設定変更の監視を行い、異常なアクティビティを検知できるようにします。
    ログのバックアップと転送: ログを定期的にオンプレミス環境や他のクラウドストレージにバックアップすることで、万が一の消失に備えます。

結論

Azure自体の設計としては、ログの削除は非常に困難ですが、設定変更や特権の不正使用などによって、ログが記録されない、あるいは意図的に保存されない状況が発生する可能性はあります。このため、適切なアクセス制御と監視体制を確保することが重要です。

また、ログを全く削除できないかというと、以下のサイトのようにそうでもない可能性がある。

Log Analytics ワークスペースのデータを削除する方法 | Japan Azure Monitoring Support Blog (jpazmon-integ.github.io)

2.ログ停止の検知

1.に記載の通りAzureログの削除は難しそうだが、ログ出力の停止は可能と思われる為、それを検知するSigmaルールを作成できないか ChatGPTに聞いてみた。

AzureのAuditログが削除されることは非常に難しく、特権的なアクセスがなければ削除できないため、ログの出力が停止すること自体が疑わしい活動として考慮されます。このため、ログが定期的に出力されていることを監視し、一定期間ログが出力されなかった場合にアラートを出すSigmaルールを作成することは有効です。
Sigmaルール例: Azure Auditログの停止を検知する

以下は、一定期間(例:24時間)Azure Auditログが生成されなかった場合にアラートを発生させるSigmaルールのサンプルです。このルールは、Azure AD Auditログの「Activity」というフィールドに対して監視を行います。

yaml

title: Detect Missing Azure AD Audit Logs
id: 1234abcd-5678-efgh-9101-ijklmnop1234
status: experimental
description: Detects if no Azure AD Audit logs have been generated within a specified time period.
author: Your Name
date: 2024/09/07
logsource:
  category: audit
  product: azure
detection:
  timeframe: 24h
  condition: |
    not exists (EventID: any)
fields:
  - EventID
  - TimeGenerated
falsepositives:
  - Planned maintenance or system outages
level: high
tags:
  - attack.t1070.001
  - attack.t1070.002
  - attack.t1562

このSigmaルールでは、24時間以内にAzure AD Auditログが生成されない場合にアラートが発生するように設定されています。
MITRE ATT&CKの関連するテクニック

ログの出力停止や削除は、攻撃者がその痕跡を隠そうとする際に使われる技術であり、以下のMITRE ATT&CKテクニックに該当します:

    T1070.001 – Indicator Removal on Host: Clear Windows Event Logs
        攻撃者がログを消去して証拠を隠そうとする場合、このテクニックに該当します。

    T1070.002 – Indicator Removal on Host: Clear Audit Logs
        特に監査ログを対象とした削除活動。

    T1562 – Impair Defenses
        ログ生成を妨害することは、防御の無効化に関連するアクティビティとして分類されます。

これらのテクニックは、ログの停止が意図的なものであり、攻撃者による痕跡隠蔽が行われている可能性がある場合に適用されます。

3.Microsoft 365でのログの出力制御と確認

どうやらPowerSellからは確認できそうだが。。。。

Turn auditing on or off
https://learn.microsoft.com/en-us/purview/audit-log-enable-disable?tabs=microsoft-purview-portal

Related posts:

  1. M365用のSigmaルールにどのMITRE ATT&CKテクニックに該当するものがあるか調べてみた
  2. MITRE ATT&CK Office 365 Matrixと Sigma、Splunkルールをマッピングしてみた
  3. MITRE ATT&CKのT1087.004をAzure Entra IDのログで検知する方法を調べてみた
  4. AzureもしくはAVD上のログ削除(T1070.001)について調べてみた

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA