Utiliser le playbook T1070 - Journaux d’événements Windows effacés

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui suivent les types d’événements dans lesquels l’utilisateur supprime les journaux de sécurité. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook T1070 - Journaux d’événements Windows effacés.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, obtenez les détails de l’utilisateur à partir de l’alerte.
    2. Dans l’action 2, vérifiez si l’utilisateur a été identifié ou non.
    3. Dans l’action 3, si l’utilisateur n’a pas été identifié, effectuez les étapes suivantes :
      1. Dans l’action 4, recherchez les détails du propriétaire de l’hôte dans la CMDB (Configuration Management Database).
      2. Dans l’action 5, vérifiez si l’utilisateur a été identifié à partir de la CMDB ou non.

        Si l’utilisateur a été identifié à partir de la CMDB, une tâche de réponse manuelle est créée dans l’action 5 et le flux se termine.

        Figure 1. T1070 : Playbook des journaux d’événements Windows effacés
        Tâche de réponse si l’utilisateur n’a pas été identifié dans le Playbook des journaux d’événements Windows effacés
      3. Dans l’action 6, si l’utilisateur n’a pas été identifié à partir de la CMDB, procédez comme suit :
        1. Dans l’Action 7, créez un incident pour identifier le propriétaire du système et la personne qui a supprimé les journaux.
        2. Dans l’Action 8, vérifiez si l’utilisateur a été identifié après avoir émis un incident ou non.

          Si l’utilisateur a été identifié après avoir signalé un incident, une tâche de réponse manuelle est créée dans l’Action 8 et le flux se termine.

        3. Dans l’Action 9, si l’utilisateur n’a pas été identifié après avoir signalé un incident, procédez comme suit :
          1. Dans l’action 10, discutez de la prochaine marche à suivre avec vos pairs.
          2. Dans l’action 11, isolez le système hôte.
          3. Dans l’action 12, supprimez tous les fichiers indésirables qui ont pu être créés et supprimez les comptes malveillants.
          4. Dans l’action 13, lever le confinement et ramener les systèmes aux normes opérationnelles.
          5. Dans l’Action 14, terminez la revue post-incident avant de fermer la tâche.

            Dans l’action 15, le flux se termine.

    4. Dans l’action 16, si l’utilisateur a été identifié, vérifiez le rôle de l’utilisateur pour voir s’il est autorisé à effacer ou supprimer les journaux.
    5. Dans Action 17, contactez l’utilisateur pour valider sa justification commerciale.
      Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur.
      Figure 2. Utilisation du T1070 - Playbook Journaux d’événements Windows effacés
      Tâche de réponse si l’utilisateur a été identifié dans le playbook Journaux d’événements Windows effacés
    6. Dans l’Action 18, vérifiez si une justification commerciale valide est fournie ou non.
    7. Dans le cadre de l’action 19, si une justification commerciale valide a été fournie, dans l’action 20, documentez les résultats obtenus jusqu’à présent.
      Le flux se termine.
    8. Dans l’Action 21, si aucune justification commerciale valide n’a été fournie, procédez comme suit :
      1. Dans l’action 22, discutez de la prochaine marche à suivre avec vos pairs.
      2. Dans l’Action 23, isolez le système hôte.
      3. Dans Action 24, supprimez tous les fichiers indésirables qui ont pu être créés et supprimez les comptes malveillants.
      4. Dans l’action 25, lever le confinement et ramener les systèmes aux normes opérationnelles.
        Le flux se termine.
    9. Dans l’Action 26, terminez la revue post-incident avant de fermer la tâche.