Utiliser le playbook T1070 - Journaux des événements Windows effacé

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui suivent les types d’événements où l’utilisateur supprime des journaux de sécurité. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook T1070 - Windows Events Logs Cleared.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, obtenez les détails de l’utilisateur à partir de l’alerte.
    2. Dans l’action 2, vérifiez si l’utilisateur a été identifié ou non.
    3. Dans l’action 3, si l’utilisateur n’a pas été identifié, procédez comme suit :
      1. Dans l’action 4, vérifiez les détails du propriétaire de l’hôte dans la CMDB (Base de données de gestion des configurations).
      2. Dans l’action 5, vérifiez si l’utilisateur a été identifié à partir de la CMDB ou non.

        Si l’utilisateur a été identifié à partir de la CMDB, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête.

      3. Dans l’action 6, si l’utilisateur n’a pas été identifié à partir de la CMDB, procédez comme suit :
        1. Dans l’action 7, créez un incident pour identifier le propriétaire du système et la personne qui a supprimé les journaux.
        2. Dans l’action 8, vérifiez si l’utilisateur a été identifié après avoir signalé un incident ou non.

          Si l’utilisateur a été identifié après avoir signalé un incident, une tâche de réponse manuelle est créée dans l’action 8 et le flux s’arrête.

        3. Dans l’action 9, si l’utilisateur n’a pas été identifié après avoir signalé un incident, procédez comme suit :
          1. Dans l’action 10, discutez du prochain plan d’action avec vos pairs.
          2. Dans l’action 11, isolez le système hôte.
          3. Dans l’action 12, supprimez tous les fichiers indésirables qui ont pu être créés et supprimez les comptes non fiables.
          4. Dans l’action 13, levez le confinement et ramenez les systèmes aux normes opérationnelles.
          5. Dans l’action 14, terminez la revue post-incident avant de fermer la tâche.

            Dans l’action 15, le flux s’arrête.

    4. Dans l’action 16, si l’utilisateur a été identifié, vérifiez le rôle de l’utilisateur pour voir s’il est autorisé à effacer ou à supprimer les journaux.
    5. Dans l’action 17, contactez l’utilisateur pour valider sa justification commerciale.
      Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur.
    6. Dans l’action 18, vérifiez si une justification commerciale valable est fournie ou non.
    7. Dans l’action 19, si une justification commerciale valide a été fournie, dans l’action 20, documentez les constatations jusqu’à présent.
      Le flux s’arrête.
    8. Dans l’action 21, si aucune justification commerciale valide n’a été fournie, procédez comme suit :
      1. Dans l’action 22, discutez de la prochaine marche à suivre avec vos pairs.
      2. Dans l’action 23, isolez le système hôte.
      3. Dans l’action 24, supprimez tous les fichiers indésirables qui ont pu être créés et supprimez les comptes non fiables.
      4. Dans l’action 25, levez le confinement et ramenez les systèmes aux normes opérationnelles.
        Le flux s’arrête.
    9. Dans l’action 26, effectuez la revue post-incident avant de fermer la tâche.