Labs Documentation : User Vanishing Act

Labs Documentation : User Vanishing Act

Di lab ini, saya diposisikan sebagai investigator dari sebuah perusahaan diminta menyelidiki adanya penyalahgunaan user privilege. cloud provider yang digunakan klien adalah AWS, dan lognya dicatat ke ELK stack tersendiri. investigator diminta mencari log yang menunjukkan adanya penghapusan user.

Penyelesaian : masuk ke menu discovery, kemudian ke bagian KQL syntax filter. secara umum bisa lakukan hal hal ini :

  • filtering hanya dari data yang berasal dari aws cloudtrail
  • filtering ke data yang berkaitan dengan IAMUSER
  • filtering ke data yang memiliki event DeleteUser / deletion

beberapa query yang bisa dimasukkan : 

deletion

aws.cloudtrail.user_identity.type: IAMUser

event.action: "DeleteUser"

kemudian dari log yang didapatkan bisa kita baca detailnya seepeti user yang dihapus , waktunya , dsb...