T1070 - Windows 이벤트 로그 지워짐 Playbook 사용

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 이 Playbook을 사용하여 사용자가 보안 로그를 제거하는 이벤트 유형을 추적하는 인시던트를 조사합니다. 다음 단계에서는 T1070 - Windows 이벤트 로그 지워짐 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. Playbook이 트리거되고 실행이 시작되면 작업 1의 경보에서 사용자 상세 정보를 얻습니다.
    2. 작업 2에서 사용자가 식별되었는지 여부를 확인합니다.
    3. 작업 3에서 사용자를 식별하지 못한 경우 다음 단계를 수행합니다.
      1. 작업 4에서 CMDB(Configuration Management Database)에서 호스트 소유자 상세 정보를 확인합니다.
      2. 작업 5에서 사용자가 CMDB에서 식별되었는지 여부를 확인합니다.

        CMDB에서 사용자가 식별되면 조치 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.

        그림 1. T1070 - Windows 이벤트 로그 Playbook 지워짐
        Windows 이벤트 로그에서 사용자가 식별되지 않은 경우의 응답 작업 Playbook을 지웠습니다.
      3. 작업 6에서 사용자가 CMDB에서 식별되지 않은 경우 다음 단계를 수행합니다.
        1. 작업 7에서 시스템 소유자와 로그를 삭제한 개인을 식별하는 인시던트를 만듭니다.
        2. 작업 8에서 인시던트를 제기한 후 사용자가 식별되었는지 여부를 확인합니다.

          인시던트를 제기한 후 사용자가 식별되면 작업 8에 수동 응답 작업이 생성되고 플로우가 종료됩니다.

        3. 작업 9에서 인시던트를 제기한 후 사용자가 식별되지 않으면 다음 단계를 수행합니다.
          1. 조치 10에서는 동료들과 함께 다음 행동 방침에 대해 논의합니다.
          2. 작업 11에서 호스트 시스템을 격리합니다.
          3. 작업 12에서 생성되었을 수 있는 원치 않는 파일을 제거하고 Rogue 계정을 삭제합니다.
          4. 조치 13에서 봉쇄를 해제하고 시스템을 작동 표준으로 되돌립니다.
          5. 작업 14에서 작업을 종료하기 전에 사후 인시던트 검토를 완료합니다.

            작업 15에서는 흐름이 종료됩니다.

    4. 작업 16에서 사용자가 식별된 경우 사용자의 역할을 확인하여 사용자에게 로그를 지우거나 제거할 수 있는 권한이 있는지 확인합니다.
    5. 작업 17에서는 비즈니스 정당성을 확인하기 위해 사용자에게 연락합니다.
      제공된 이메일 템플릿을 사용하여 사용자에게 연락할 수 있습니다.
      그림 2. T1070 사용 - Windows 이벤트 로그 지워짐 Playbook
      사용자가 Windows 이벤트 로그에서 식별된 경우 응답 작업 Playbook을 지웠습니다.
    6. 작업 18에서 유효한 비즈니스 정당성이 제공되었는지 여부를 확인합니다.
    7. 조치 19에서 타당한 비즈니스 정당성이 제공된 경우 조치 20에서 지금까지의 결과를 문서화합니다.
      플로우가 종료됩니다.
    8. 작업 21에서 유효한 비즈니스 정당성이 제공되지 않은 경우 다음 단계를 수행합니다.
      1. 조치 22에서는 동료들과 함께 다음 행동 방침에 대해 논의합니다.
      2. 작업 23에서 호스트 시스템을 격리합니다.
      3. 작업 24에서 생성되었을 수 있는 원치 않는 파일을 제거하고 Rogue 계정을 삭제합니다.
      4. 조치 25에서 봉쇄를 들어 올리고 시스템을 작동 표준으로 되돌립니다.
        플로우가 종료됩니다.
    9. 작업 26에서 작업을 종료하기 전에 사후 인시던트 검토를 완료합니다.