Utiliser le playbook T1070 - Journaux des événements Windows effacé

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui suivent les types d’événements où l’utilisateur supprime des journaux de sécurité. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook T1070 - Journaux des événements Windows effacés.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, obtenez les détails de l’utilisateur à partir de l’alerte.
    2. Dans l’action 2, vérifiez si l’utilisateur a été identifié ou non.
    3. Dans l’action 3, si l’utilisateur n’a pas été identifié, procédez comme suit :
      1. Dans l’action 4, vérifiez la CMDB (Configuration Management Database) pour connaître les détails du propriétaire de l’hôte.
      2. Dans l’action 5, vérifiez si l’utilisateur a été identifié à partir de la CMDB ou non.

        Si l’utilisateur a été identifié à partir de la CMDB, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête.

        Figure 1. T1070 : journaux des événements Windows Playbook effacé
        Tâche de réponse si l’utilisateur n’a pas été identifié dans les journaux d’événements Windows Playbook effacé
      3. Dans l’action 6, si l’utilisateur n’a pas été identifié à partir de la CMDB, procédez comme suit :
        1. Dans l’action 7, créez un incident pour identifier le propriétaire du système et la personne qui a supprimé les journaux.
        2. Dans l’action 8, vérifiez si l’utilisateur a été identifié après avoir signalé un incident ou non.

          Si l’utilisateur a été identifié après avoir soumis un incident, une tâche de réponse manuelle est créée dans l’action 8 et le flux s’arrête.

        3. Dans l’action 9, si l’utilisateur n’a pas été identifié après avoir signalé un incident, procédez comme suit :
          1. Dans l’action 10, discutez de la prochaine ligne de conduite avec vos pairs.
          2. Dans l’action 11, isolez le système hôte.
          3. Dans l’action 12, supprimez tous les fichiers indésirables qui ont pu être créés et supprimez les comptes malveillants.
          4. Dans l’action 13, levez le confinement et ramenez les systèmes aux normes opérationnelles.
          5. Dans l’action 14, effectuez l’examen post-incident avant de fermer la tâche.

            Dans l’action 15, le flux s’arrête.

    4. Dans l’action 16, si l’utilisateur a été identifié, vérifiez son rôle pour voir si l’utilisateur est autorisé à effacer ou à supprimer des journaux.
    5. Dans l’action 17, contactez l’utilisateur pour valider sa justification commerciale.
      Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur.
      Figure 2. Utilisation du playbook T1070 - Journaux des événements Windows effacé
      Tâche de réponse si l’utilisateur a été identifié dans les journaux d’événements Windows Playbook effacé
    6. Dans l’action 18, vérifiez si une justification commerciale valide est fournie ou non.
    7. Dans l’action 19, si une justification commerciale valide a été fournie, alors dans l’action 20, documentez les constatations jusqu’à présent.
      Le flux s’arrête.
    8. Dans l’action 21, si aucune justification commerciale valable n’a été fournie, procédez comme suit :
      1. Dans l’action 22, discutez de la prochaine ligne de conduite avec vos pairs.
      2. Dans l’action 23, isolez le système hôte.
      3. Dans l’action 24, supprimez tous les fichiers indésirables qui ont pu être créés et supprimez les comptes non autorisés.
      4. Dans l’action 25, levez le confinement et ramenez les systèmes aux normes opérationnelles.
        Le flux s’arrête.
    9. Dans l’action 26, effectuez l’examen post-incident avant de fermer la tâche.