このプレイブックには、ユーザーがセキュリティログを削除するイベントタイプを追跡するインシデントを調査するための修復手順が記載されています。セキュリティログがクリアされるたびに、監査システムイベントポリシーの状態に関係なく、イベント 517 と 1102 がログに記録されます。

このアラートでは、次のタイプのイベントを追跡できます。

• イベント 517： [プライマリユーザー名 (Primary username)] フィールドと [クライアントユーザー名 (Client username)] フィールドは、ログをクリアしたユーザーを特定します。プライマリユーザー名はシステムに対応し、クライアントユーザー名はログをクリアしたユーザーを示します。
• イベント 1102： [アカウント名] フィールドと [ドメイン名] フィールドは、ログをクリアしたユーザーを特定します。ログオン ID を使用すると、ログオンイベントおよび同じログオンセッション中にログに記録された他のイベントに逆方向の関連付けを行うことができます。