次の手順は、Windows イベントログクリア済みプレイブックで使用できるアクション、タスク、およびサブフローのウォークスルーを示しています。
始める前に
必要なロール:
- sn_si.admin
- flow_designer
Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。
手順
-
Playbook がトリガーされて実行が開始されたら、ステップ 1 でアラートからユーザーの詳細を取得する必要があります。
-
ステップ2では、ユーザーが識別されているかどうかを確認する必要があります。
-
手順 3 で、ユーザーが識別されていない場合は、次の手順を実行します。
-
ステップ 4 では、CMDB (Configuration Management Database) でホスト所有者の詳細を確認する必要があります。
-
ステップ 5 では、ユーザーが CMDB から識別されているかどうかを確認する必要があります。
ユーザーが CMDB から識別された場合は、ステップ 5 で手動応答タスクが作成され、フローが終了します。
図 : 1. T1070 - Windows イベントログ クリアされたプレイブック
-
ステップ 6 で、ユーザーが CMDB から識別されていない場合は、次の手順を実行します。
- ステップ 7 では、インシデントを作成して、システム所有者とログを削除した個人を特定する必要があります。
- ステップ 8 では、インシデントを提起した後にユーザーが識別されたかどうかを確認する必要があります。
インシデントの報告後にユーザーが特定された場合は、ステップ 8 で手動応答タスクが作成され、フローが終了します。
- ステップ 9 で、インシデントの報告後にユーザーが特定されていない場合は、次のステップを実行します。
- ステップ10では、次の行動方針について同僚と話し合う必要があります。
- 手順 11 では、ホスト システムを分離する必要があります。
- ステップ 12 では、作成された可能性のある不要なファイルをすべて削除し、不正なアカウントを削除する必要があります。
- ステップ 13 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
- ステップ 14 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。
ステップ 15 で、フローは終了します。
-
ステップ 16 で、ユーザーが識別されている場合は、ユーザーのロールをチェックして、ユーザーがログをクリアまたは削除することを許可されているかどうかを確認します。
-
ステップ 17 では、業務上の正当な理由を検証するためにユーザーに連絡する必要があります。
提供されたメールテンプレートを使用して、ユーザーに連絡できます。
図 : 2. T1070 の使用 - Windows イベントログ クリアされたプレイブック
-
ステップ 18 では、有効な業務上の正当な理由が提供されているかどうかを確認する必要があります。
-
ステップ 19 で有効なビジネス上の正当な理由が提供された場合、ステップ 20 では、これまでの結果を文書化するための応答タスクを作成する必要があります。
フローが終了します。
-
ステップ 21 で、有効なビジネス上の正当な理由が指定されていない場合は、次の手順を実行します。
-
ステップ22では、次の行動方針について同僚と話し合う必要があります。
-
ステップ 23 では、ホスト・システムを分離する必要があります。
-
ステップ 24 では、作成された可能性のある不要なファイルをすべて削除し、不正なアカウントを削除する必要があります。
-
ステップ 25 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
フローが終了します。
-
ステップ 26 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。