Use o playbook T1070 - Logs de eventos do Windows limpos

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use este playbook para investigar incidentes que rastreiam tipos de evento em que o usuário remove logs de segurança. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook T1070 - Logs de eventos do Windows limpos.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, obtenha os detalhes do usuário do alerta.
    2. Na Ação 2, verifique se o usuário foi identificado ou não.
    3. Na Ação 3, se o usuário não tiver sido identificado, execute as seguintes etapas:
      1. Na Ação 4, verifique o CMDB (banco de dados de gestão de configuração) para obter os detalhes do proprietário do host.
      2. Na Ação 5, verifique se o usuário foi identificado no CMDB ou não.

        Se o usuário tiver sido identificado no CMDB, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado.

        Figura 1. T1070 - Playbook de logs de eventos do Windows limpos
        Tarefa de resposta se o usuário não tiver sido identificado no playbook Logs de eventos do Windows limpos
      3. Na Ação 6, se o usuário não tiver sido identificado no CMDB, execute as seguintes etapas:
        1. Na Ação 7, crie um incidente para identificar o proprietário do sistema e o indivíduo que excluiu os logs.
        2. Na Ação 8, verifique se o usuário foi identificado após gerar um incidente ou não.

          Se o usuário tiver sido identificado após gerar um incidente, uma tarefa de resposta manual será criada na Ação 8 e o fluxo será encerrado.

        3. Na Ação 9, se o usuário não tiver sido identificado após gerar um incidente, execute as seguintes etapas:
          1. Na Ação 10, discuta o próximo curso de ação com colegas.
          2. Na Ação 11, isole o sistema host.
          3. Na Ação 12, remova todos os arquivos indesejados que possam ter sido criados e exclua as contas não autorizadas.
          4. Na Ação 13, remova a contenção e restaure os sistemas aos padrões operacionais.
          5. Na Ação 14, conclua a revisão pós-incidente antes de fechar a tarefa.

            Na Ação 15, o fluxo termina.

    4. Na Ação 16, se o usuário tiver sido identificado, verifique a função do usuário para ver se ele está autorizado a limpar ou remover logs.
    5. Na Ação 17, entre em contato com o usuário para validação de sua justificativa de negócios.
      Você pode usar o modelo de e-mail fornecido para entrar em contato com o usuário.
      Figura 2. Usando o playbook T1070 - Logs de eventos do Windows limpos
      Tarefa de resposta se o usuário tiver sido identificado no playbook Logs de eventos do Windows limpos
    6. Na Ação 18, verifique se uma justificativa de negócio válida foi fornecida ou não.
    7. Na Ação 19, se houver uma justificativa de negócio válida fornecida, na Ação 20, documente as descobertas até o momento.
      O fluxo termina.
    8. Na Ação 21, se não houver uma justificativa de negócio válida fornecida, execute as seguintes etapas:
      1. Na Ação 22, discuta o próximo curso de ação com colegas.
      2. Na Ação 23, isole o sistema host.
      3. Na Ação 24, remova todos os arquivos indesejados que possam ter sido criados e exclua as contas não autorizadas.
      4. Na Ação 25, remova a contenção e restaure os sistemas aos padrões operacionais.
        O fluxo termina.
    9. Na Ação 26, conclua a revisão pós-incidente antes de fechar a tarefa.