이 플레이북은 사용자가 보안 로그를 제거하는 이벤트 유형을 추적하는 인시던트를 조사하기 위한 정정 단계를 제공합니다. 보안 로그가 지워질 때마다, 감사 시스템 이벤트 정책 상태에 관계없이 이벤트(517 및 1102)가 로깅된다.

이 경보는 다음과 같은 유형의 이벤트를 추적할 수 있습니다.

• 이벤트 517: 기본 사용자 이름 및 클라이언트 사용자 이름 필드는 로그를 지운 사용자를 식별합니다. 기본 사용자 이름은 시스템에 해당하고 클라이언트 사용자 이름은 로그를 지운 사용자를 나타냅니다.
• 이벤트 1102: 계정 이름 및 도메인 이름 필드는 로그를 지운 사용자를 식별합니다. 로그온 ID를 사용하면 로그온 이벤트 및 동일한 로그온 세션 중에 기록된 다른 이벤트와 역방향으로 상관관계를 지정할 수 있습니다.