T1070 - クリアされた Windows イベントログプレイブックを使用する

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:2分

    • このプレイブックを使用して、ユーザーがセキュリティログを削除するイベントタイプを追跡するインシデントを調査します。以下に示すステップは、T1070 - クリアされた Windows イベントログプレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 でアラートからユーザーの詳細を取得します。
    2. アクション 2 では、ユーザーが識別されているかどうかを確認します。
    3. アクション 3 では、ユーザーが識別されていない場合に、次の手順を実行します。
      1. アクション 4 では、CMDB (構成管理データベース) でホスト所有者の詳細を確認します。
      2. アクション 5 では、CMDB からユーザーが識別されているかどうかを確認します。

        ユーザーが CMDB から特定された場合は、アクション 5 で手動応答タスクが作成され、フローが終了します。

      3. アクション 6 では、ユーザーが CMDB から識別されていない場合に、次の手順を実行します。
        1. アクション 7 では、インシデントを作成して、システム所有者と、ログを削除した個人を特定します。
        2. アクション 8 では、インシデントを発生させた後に、ユーザーが特定されているかどうかを確認します。

          インシデントの発生後にユーザーが特定された場合は、アクション 8 で手動応答タスクが作成され、フローが終了します。

        3. アクション 9 では、インシデントの発生後にユーザーが特定されていない場合に、次の手順を実行します。
          1. アクション 10 では、次に取るべき対処措置について同僚と話し合います。
          2. アクション 11 で、ホストシステムを分離します。
          3. アクション 12 では、作成された可能性のある不要なファイルを削除し、不正なアカウントを削除します。
          4. アクション 13 では、封じ込めを解除し、システムを運用標準に戻します。
          5. アクション 14 では、タスクをクローズする前にインシデントの事後レビューを完了します。

            アクション 15 で、フローは終了します。

    4. アクション 16 では、ユーザーが特定されている場合に、ユーザーのロールをチェックして、ユーザーがログをクリアまたは削除することを許可されているかどうかを確認します。
    5. アクション 17 では、ビジネス上の根拠を検証するためにユーザーに連絡します。
      提供されたメールテンプレートを使用して、ユーザーに連絡できます。
    6. アクション 18 では、有効なビジネス上の根拠が提供されているかどうかを確認します。
    7. アクション 19 では、有効なビジネス上の根拠が提供された場合に、アクション 20 で、これまでの結果を文書化します。
      フローが終了します。
    8. アクション 21 では、有効なビジネス上の根拠が指定されていない場合に、次の手順を実行します。
      1. アクション 22 では、次に取るべき対処措置について同僚と話し合います。
      2. アクション 23 で、ホストシステムを分離します。
      3. アクション 24 では、作成された可能性のある不要なファイルを削除し、不正なアカウントを削除します。
      4. アクション 25 では、封じ込めを解除し、システムを運用標準に戻します。
        フローが終了します。
    9. アクション 26 では、タスクをクローズする前にインシデントの事後レビューを完了します。