Di lab ini, saya diposisikan sebagai investigator dari sebuah perusahaan diminta menyelidiki adanya penyalahgunaan user privilege. cloud provider yang digunakan klien adalah AWS, dan lognya dicatat ke ELK stack tersendiri. investigator diminta mencari log yang menunjukkan adanya penghapusan user.
Penyelesaian : masuk ke menu discovery, kemudian ke bagian KQL syntax filter. secara umum bisa lakukan hal hal ini :
- filtering hanya dari data yang berasal dari aws cloudtrail
- filtering ke data yang berkaitan dengan IAMUSER
- filtering ke data yang memiliki event DeleteUser / deletion
beberapa query yang bisa dimasukkan :
deletionaws.cloudtrail.user_identity.type: IAMUserevent.action: "DeleteUser"kemudian dari log yang didapatkan bisa kita baca detailnya seperti user yang dihapus , waktunya , dsb…
