Ce playbook fournit des étapes de rattrapage pour enquêter sur les incidents qui suivent les types d’événements où l’utilisateur supprime les journaux de sécurité. Chaque fois que le journal de sécurité est effacé, les événements 517 et 1102 sont journalisés, quel que soit l’état de la politique d’événement du système d’audit.

Cette alerte peut suivre les types d’événements suivants :

• Événement 517 : Les champs Nom d’utilisateur principal et Nom d’utilisateur client identifient l’utilisateur qui a effacé le journal. Le nom d’utilisateur principal correspond au système et le nom d’utilisateur client indique l’utilisateur qui a effacé le journal.
• Événement 1102 : Les champs Nom du compte et Nom du domaine identifient l’utilisateur qui a effacé le journal. L’ID de connexion vous permet d’établir une corrélation rétroactive avec l’événement de connexion et d’autres événements enregistrés au cours de la même session de connexion.