T1070 설정 - Windows 이벤트 로그 지워진 플레이북

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 다음 단계를 사용하여 T1070 - Windows 이벤트 로그 지워짐 플레이북을 설정합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    sn_sec_spoke(보안 운영 스포크)를 설치했는지 확인합니다.

    프로시저

    1. sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
    2. 다음으로 이동 모두 > 플로우 디자이너 을 클릭하고 T1070 - Windows 이벤트 로그 지워 짐 플레이북을 선택합니다.
    3. 옵션: T1070 - Windows Events Logs Cleared Playbook 플로우의 복사본을 만들고 필요한 수정을 합니다.

      플레이북 플로우의 사본을 생성하려면 추가 작업 메뉴 아이콘을 선택하고 플로우 복사를 선택합니다. 플로우를 사용자 지정하거나 특정 변경 사항을 적용하려는 경우에만 이 단계를 수행합니다.

      그림 1. T1070 - Windows 이벤트 로그 지워진 Playbook
      T1070 개요 - Windows 이벤트 로그가 Playbook을 지웠습니다.
    4. Playbook을 활성화합니다.
      1. 기본 플로우를 활성화하여 기본 시스템에서 제공되는 플레이북을 사용합니다.
      2. 필요한 변경 사항을 적용한 후 복사된 플로우를 활성화합니다.
    5. 플레이북에 대한 트리거 조건을 설정합니다.

      이 Playbook은 트리거되며 범주무단 액세스인 경우 보안 인시던트와 연결됩니다.

      그림 2. T1070 - Windows 이벤트 로그 지워짐 Playbook 트리거 조건
      T1070에 대한 트리거 조건 - Windows 이벤트 로그 Playbook 지우기