피드로 돌아가기
When AWS Fires Your MFA Detection For You
Dev.toDev.to
Security

CloudTrail Event Correlation을 통한 MFA 탐지 오탐 제거

When AWS Fires Your MFA Detection For You

Chris Ray2026년 6월 4일4intermediate

Context

단일 API 호출 기반의 MFA 제거 탐지 룰이 AWS의 DeleteUser 내부 동작으로 인한 대량의 False Positive를 생성하는 한계 발생. AWS IAM 구조상 사용자 삭제 전 MFA 장치 제거가 선행되어야 하므로, 정상적인 Offboarding 절차가 공격자의 계정 조작 행위와 동일한 Event Log를 남기는 구조적 문제 존재.

Technical Solution

  • 단순 eventName 기반의 Atomic Detection 방식에서 Event Sequence 분석 기반의 Correlated Detection으로 전환
  • DeactivateMFADevice 및 DeleteVirtualMFADevice 이벤트 발생 시 동일 Target User에 대한 DeleteUser 이벤트 존재 여부를 추적하는 Logic 설계
  • CloudTrail의 비순차적 로그 전달 특성을 고려하여 이벤트 발생 전후 60분 구간을 양방향으로 탐색하는 Time Window 설정
  • 정상적인 Offboarding 패턴인 'MFA 제거 $\rightarrow$ 사용자 삭제' 시퀀스를 식별하여 해당 이벤트를 억제(Suppression)하는 필터링 메커니즘 적용
  • 개별 API 호출이 아닌 플랫폼의 Side Effect와 Originating Action의 관계를 정의하는 Cascade Map 개념 도입

- Cloud Control Plane의 단일 API 호출이 유발하는 Cascade Event 패턴 분석 및 목록화 - 보안 탐지 룰 설계 시 개별 이벤트의 원자적 분석이 아닌 이벤트 간의 상관관계(Correlation) 정의 - 로그 수집 시스템의 전달 지연을 고려한 유연한 Time Window 기반의 Join 쿼리 적용

원문 읽기