Este playbook fornece etapas de correção para investigar incidentes que rastreiam tipos de evento em que o usuário remove logs de segurança. Sempre que o log de segurança é limpo, os eventos 517 e 1102 são registrados, independentemente do status da política de eventos do sistema de auditoria.

Este alerta pode rastrear os seguintes tipos de eventos:

• Evento 517: os campos Nome de usuário primário e Nome de usuário do cliente identificam o usuário que limpou o log. O nome de usuário primário corresponde ao sistema e o nome de usuário do cliente indica o usuário que limpou o log.
• Evento 1102: os campos Nome da conta e Nome do domínio identificam o usuário que limpou o log. O ID de logon permite correlacionar para trás o evento de logon e outros eventos registrados durante a mesma sessão de logon.