det0289-detection-strategy-for-disable-or-modify-cloud-logs

# DET0289 — Detection Strategy for Disable or Modify Cloud Logs ## Descrição Esta estratégia detecta tentativas de desativar ou modificar serviços de logging em ambientes de nuvem, uma técnica de evasão de defesa onde adversários visam eliminar evidências de suas atividades antes ou durante um ataque. A desativação de logs em CloudTrail (AWS), Cloud Audit Logs (GCP) ou Azure Monitor/Diagnostic Settings impede a visibilidade necessária para detecção e investigação forense. Os indicadores primários incluem chamadas de API que desativam ou modificam configurações de logging: `DeleteTrail`, `StopLogging`, `UpdateTrail` (AWS CloudTrail), `SetSinkConfiguration` (GCP), e operações `DiagnosticSettings/delete` ou `actionGroups/delete` (Azure). A janela temporal entre a desativação do log e atividades subsequentes suspeitas é frequentemente o sinal mais crítico. A estratégia requer que logs de controle (management plane) sejam imutáveis e enviados para um destino separado com acesso restrito. Grupos de ameaça que atacam infraestrutura cloud como [[g1015-scattered-spider|Scattered Spider]] e campanhas de cryptojacking frequentemente começam por desabilitar CloudTrail para evitar detecção de criação de instâncias não autorizadas. ## Indicadores de Detecção - Chamada `StopLogging` ou `DeleteTrail` em CloudTrail AWS por identidade não pertencente ao time de segurança - Modificação de `LoggingConfiguration` em GCP para excluir tipos de atividade críticos - Exclusão de Diagnostic Setting ou Log Analytics Workspace no Azure sem ticket de mudança - Criação de exclusão de log (`log exclusions`) que filtra eventos de autenticação ou IAM - Alteração de período de retenção de logs para valor inferior ao mínimo de compliance - Falha em sequência de envio de logs para SIEM centralizado (gap temporal nos logs recebidos) ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] ## Analytics Relacionadas - [[an0801-analytic-0801|AN0801 — Analytic 0801]] - [[an0802-analytic-0802|AN0802 — Analytic 0802]] - [[an0803-analytic-0803|AN0803 — Analytic 0803]] - [[an0804-analytic-0804|AN0804 — Analytic 0804]] --- *Fonte: [MITRE ATT&CK — DET0289](https://attack.mitre.org/detectionstrategies/DET0289)*