Verwenden Sie das Playbook T1070 – Windows Events Logs Cleared (T1070 – Windows-Ereignisprotokolle gelöscht).
Freigeben Version: Washingtondc
Aktualisiert 1. Februar 2024
2 Minuten Lesedauer
Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die Event-Typen nachverfolgen, bei denen der Benutzer Sicherheitsprotokolle entfernt. Die folgenden Schritte geben Ihnen eine Vorstellung der Aktionen, Aufgaben und Subflows, die im Playbook T1070 – Windows Events Logs Cleared (T1070 – Windows-Ereignisprotokolle gelöscht) verfügbar sind.
Vorbereitungen
Erforderliche Rolle:
sn_si.admin
flow_designer
Prozedur
Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, rufen Sie in Aktion 1 die Benutzerdetails aus der Warnung ab.
Überprüfen Sie in Aktion 2, ob der Benutzer identifiziert wurde.
Wenn der Benutzer in Aktion 3 nicht identifiziert wurde, führen Sie die folgenden Schritte aus:
Überprüfen Sie in Aktion 4 die CMDB (Configuration Management Database) auf die Details des Hostbesitzers.
Überprüfen Sie in Aktion 5, ob der Benutzer in der CMDB identifiziert wurde.
Wenn der Benutzer in der CMDB identifiziert wurde, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
Wenn der Benutzer in Aktion 6 nicht aus der CMDB identifiziert wurde, führen Sie die folgenden Schritte aus:
Erstellen Sie in Aktion 7 einen Incident, um den Systembesitzer und die Person zu identifizieren, die die Protokolle gelöscht hat.
Überprüfen Sie in Aktion 8, ob der Benutzer nach dem Auslösen eines Incident identifiziert wurde oder nicht.
Wenn der Benutzer nach dem Auslösen eines Incident identifiziert wurde, wird in Aktion 8 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
Wenn der Benutzer nach dem Auslösen eines Incidents nicht identifiziert wurde, führen Sie in Aktion 9 die folgenden Schritte aus:
Besprechen Sie in Aktion 10 die nächste Vorgehensweise mit Kollegen.
Isolieren Sie in Aktion 11 das Hostsystem.
Entfernen Sie in Aktion 12 alle unerwünschten Dateien, die möglicherweise erstellt wurden, und löschen Sie die nicht autorisierten Konten.
Heben Sie in Aktion 13 die Eindämmung auf, und bringen Sie die Systeme wieder in den Betriebszustand.
Schließen Sie in Aktion 14 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.
In Aktion 15 endet der Flow.
Wenn der Benutzer in Aktion 16 identifiziert wurde, überprüfen Sie die Rolle des Benutzers, um festzustellen, ob der Benutzer zum Löschen oder Entfernen von Protokollen berechtigt ist.
Wenden Sie sich in Aktion 17 an den Benutzer, um eine Validierung seiner geschäftlichen Begründung zu erhalten.
Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Benutzer zu kontaktieren.
Abbildung : 2. Verwenden des Playbooks T1070 – Windows-Ereignisprotokolle gelöscht
Überprüfen Sie in Aktion 18, ob eine gültige geschäftliche Begründung angegeben ist.
Wenn in Aktion 19 eine gültige geschäftliche Begründung angegeben wurde, dokumentieren Sie in Aktion 20 die bisherigen Ergebnisse.
Der Flow endet.
Wenn in Aktion 21 keine gültige geschäftliche Begründung angegeben wurde, führen Sie die folgenden Schritte aus:
Besprechen Sie in Aktion 22 die nächste Vorgehensweise mit Kollegen.
Isolieren Sie in Aktion 23 das Hostsystem.
Entfernen Sie in Aktion 24 alle unerwünschten Dateien, die möglicherweise erstellt wurden, und löschen Sie die nicht autorisierten Konten.
Heben Sie in Aktion 25 die Eindämmung auf, und bringen Sie die Systeme wieder in den Betriebszustand.
Der Flow endet.
Schließen Sie in Aktion 26 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.