Dieses Playbook enthält Korrekturschritte zur Untersuchung von Incidents, die Ereignistypen nachverfolgen, bei denen der Benutzer Sicherheitsprotokolle entfernt. Wenn das Sicherheitsprotokoll gelöscht wird, werden die Events 517 und 1102 unabhängig vom Status der Audit System Event-Richtlinie protokolliert.

Diese Warnung kann die folgenden Arten von Events nachverfolgen:

• Event 517: Die Felder Primärer Benutzername und Client-Benutzername identifizieren den Benutzer, der das Protokoll gelöscht hat. Der primäre Benutzername entspricht dem System, und der Client-Benutzername gibt den Benutzer an, der das Protokoll gelöscht hat.
• Event 1102: Die Felder Account-Name und Domänenname identifizieren den Benutzer, der das Protokoll gelöscht hat. Mit der Anmelde-ID können Sie rückwärts mit dem Anmeldeereignis und anderen während derselben Anmeldesitzung protokollierten Ereignissen korrelieren.