Verwenden Sie das Playbook „T1070 – Windows-Ereignisprotokolle gelöscht“.
Freigeben Version: Xanadu
Aktualisiert 1. August 2024
2 Minuten Lesedauer
Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die Ereignistypen nachverfolgen, bei denen der Anwender Sicherheitsprotokolle entfernt. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „T1070 – Windows-Ereignisprotokolle gelöscht“ verfügbar sind.
Vorbereitungen
Erforderliche Rolle:
sn_si.admin
flow_designer
Prozedur
Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, rufen Sie in Aktion 1 die Benutzerdetails aus der Warnung ab.
Überprüfen Sie in Aktion 2, ob der Benutzer identifiziert wurde oder nicht.
Wenn in Aktion 3 der Benutzer nicht identifiziert wurde, führen Sie die folgenden Schritte aus:
Überprüfen Sie in Aktion 4 die CMDB (Configuration Management Database) auf die Details des Hostbesitzers.
Überprüfen Sie in Aktion 5, ob der Benutzer über die CMDB identifiziert wurde oder nicht.
Wenn der Benutzer über die CMDB identifiziert wurde, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
Wenn der Benutzer in Aktion 6 nicht über die CMDB identifiziert wurde, führen Sie die folgenden Schritte aus:
Erstellen Sie in Aktion 7 einen Incident, um den Systembesitzer und die Person zu identifizieren, die die Protokolle gelöscht hat.
Überprüfen Sie in Aktion 8, ob der Benutzer identifiziert wurde, nachdem ein Incident ausgelöst wurde oder nicht.
Wenn der Benutzer nach dem Auslösen eines incident identifiziert wurde, wird in Aktion 8 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
Wenn in Aktion 9 der Benutzer nach dem Auslösen eines Incidents nicht identifiziert wurde, führen Sie die folgenden Schritte aus:
Besprechen Sie in Aktion 10 mit Kollegen die nächste Vorgehensweise.
Isolieren Sie in Aktion 11 das Hostsystem.
Entfernen Sie in Aktion 12 alle unerwünschten Dateien, die möglicherweise erstellt wurden, und löschen Sie die nicht autorisierten Accounts.
Heben Sie in Aktion 13 das Containment auf, und bringen Sie die Systeme wieder in den Betriebsstandard.
Schließen Sie in Aktion 14 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.
In Aktion 15 endet der Flow.
Wenn der Benutzer in Aktion 16 identifiziert wurde, überprüfen Sie die Rolle des Benutzers, um zu sehen, ob der Benutzer berechtigt ist, Protokolle zu löschen oder zu entfernen.
Wenden Sie sich in Aktion 17 an den Anwender, um seine geschäftliche Begründung zu validieren.
Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Benutzer zu kontaktieren.
Abbildung : 2. Mithilfe des Playbooks „T1070 – Windows-Ereignisprotokolle gelöscht“
Überprüfen Sie in Aktion 18, ob eine gültige geschäftliche Begründung angegeben wurde.
Wenn in Aktion 19 eine stichhaltige geschäftliche Begründung angegeben wurde, dokumentieren Sie in Aktion 20 die bisherigen Ergebnisse.
Der Flow endet.
Wenn in Aktion 21 keine gültige geschäftliche Begründung angegeben wurde, führen Sie die folgenden Schritte aus:
Besprechen Sie in Aktion 22 die nächste Vorgehensweise mit Kollegen.
Isolieren Sie in Aktion 23 das Hostsystem.
Entfernen Sie in Aktion 24 alle unerwünschten Dateien, die möglicherweise erstellt wurden, und löschen Sie die nicht autorisierten Accounts.
Heben Sie in Aktion 25 das Containment auf, und bringen Sie die Systeme wieder in den Betriebsstandard.
Der Flow endet.
Schließen Sie in Aktion 26 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.