Dieses Playbook bietet Korrekturschritte zur Untersuchung von Incidents, die Ereignistypen nachverfolgen, bei denen der Anwender Sicherheitsprotokolle entfernt. Jedes Mal, wenn das Sicherheitsprotokoll gelöscht wird, werden die Ereignisse 517 und 1102 unabhängig vom Status der Richtlinie Audit-Systemereignis protokolliert.

Diese Warnung kann die folgenden Ereignistypen nachverfolgen:

• Ereignis 517: Die Felder Primärer Anwendername und Client-Anwendername geben den Anwender an, der das Protokoll gelöscht hat. Der primäre Anwendername entspricht dem System, und der Client-Anwendername gibt den Anwender an, der das Protokoll gelöscht hat.
• Ereignis 1102: Die Felder „Accountname“ und „Domänenname“ geben den Anwender an, der das Protokoll gelöscht hat. Die Anmelde-ID ermöglicht Ihnen eine Rückwärtskorrelation zum Anmeldeereignis und zu anderen Ereignissen, die während derselben Anmeldesitzung protokolliert wurden.