禁用或修改云日志

对手可能会禁用或修改云日志记录功能和集成，以限制其活动的数据收集并避免检测。云环境允许收集和分析审计和应用程序日志，这些日志提供了用户在环境中执行的活动的洞察。如果对手拥有足够的权限，他们可以禁用或修改日志记录以避免检测其活动。 例如，在 AWS 中，对手可能会在进行进一步的恶意活动之前禁用 CloudWatch/CloudTrail 集成。(引用: Following the CloudTrail: Generating strong AWS security signals with Sumo Logic) 他们也可能篡改日志记录功能——例如，通过删除任何关联的 SNS 主题、禁用多区域日志记录或禁用验证和/或加密日志文件的设置。(引用: AWS Update Trail)(引用: Pacu Detection Disruption Module) 在 Office 365 中，对手可能会使用 Set-MailboxAuditBypassAssociation cmdlet 禁用特定用户的邮件收集活动日志记录，禁用 M365 高级审计，或将用户的许可证从企业 E5 降级到企业 E3 许可证。(引用: Dark Reading Microsoft 365 Attacks 2021)