T1070 - Windows 이벤트 로그 지워짐 플레이북 사용

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • 이 플레이북을 사용하여 사용자가 보안 로그를 제거하는 이벤트 유형을 추적하는 인시던트를 조사합니다. 다음 단계에서는 T1070 - Windows 이벤트 로그 지워짐 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행을 시작할 때 작업 1에서 경보에서 사용자 상세 정보를 가져옵니다.
    2. 작업 2에서 사용자가 식별되었는지 여부를 확인합니다.
    3. 작업 3에서 사용자를 식별하지 못한 경우 다음 단계를 수행합니다.
      1. 작업 4에서 호스트 소유자 상세 정보에 대한 CMDB(구성 관리 데이터베이스)를 확인합니다.
      2. 작업 5에서는 사용자가 CMDB에서 식별되었는지 여부를 확인합니다.

        사용자가 CMDB에서 식별된 경우, 작업 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.

      3. 작업 6에서 사용자가 CMDB에서 식별되지 않은 경우 다음 단계를 수행하십시오.
        1. 작업 7에서는 시스템 소유자와 로그를 삭제한 개인을 식별하는 인시던트를 만듭니다.
        2. 작업 8에서는 인시던트를 제기한 후 사용자가 식별되었는지 여부를 확인합니다.

          인시던트를 제기한 후 사용자가 식별되면 작업 8에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.

        3. 작업 9에서 인시던트를 제기한 후에도 사용자가 식별되지 않으면 다음 단계를 수행합니다.
          1. 작업 10에서 동료와 다음 작업 방침에 대해 논의합니다.
          2. 작업 11에서 호스트 시스템을 격리합니다.
          3. 작업 12에서 생성되었을 수 있는 원치 않는 파일을 제거하고 악성 계정을 삭제합니다.
          4. 작업 13에서는 격리를 해제하고 시스템을 작동 표준으로 되돌립니다.
          5. 작업 14에서 사후 인시던트 검토를 완료한 후 작업을 종결합니다.

            작업 15에서는 플로우가 종료됩니다.

    4. 작업 16에서 사용자가 식별된 경우 사용자의 역할을 확인하여 사용자에게 로그를 지우거나 제거할 수 있는 권한이 있는지 확인합니다.
    5. 작업 17에서는 사용자에게 연락하여 비즈니스 정당성을 확인합니다.
      제공된 이메일 템플릿을 사용하여 사용자에게 연락할 수 있습니다.
    6. 작업 18에서 유효한 비즈니스 정당성이 제공되었는지 여부를 확인합니다.
    7. 작업 19에서 유효한 비즈니스 정당성이 제공된 경우 작업 20에서 지금까지의 결과를 문서화하십시오.
      플로우가 종료됩니다.
    8. 작업 21에서 올바른 비즈니스 정당성이 제공되지 않은 경우 다음 단계를 수행합니다.
      1. 작업 22에서 동료와 다음 작업 방침에 대해 논의합니다.
      2. 작업 23에서 호스트 시스템을 격리하십시오.
      3. 작업 24에서 생성되었을 수 있는 원치 않는 파일을 제거하고 악성 계정을 삭제합니다.
      4. 작업 25에서 격리를 들어 올리고 시스템을 작동 표준으로 되돌립니다.
        플로우가 종료됩니다.
    9. 작업 26에서 작업을 종결하기 전에 사후 인시던트 검토를 완료하십시오.