この Playbook には、ユーザーがセキュリティログを削除するイベントタイプを追跡するインシデントを調査するための修復手順が記載されています。セキュリティ ログがクリアされるたびに、監査システム イベント ポリシーの状態に関係なく、イベント 517 と 1102 がログに記録されます。

このアラートでは、次のタイプのイベントを追跡できます。

• イベント 517: [プライマリ ユーザー名] フィールドと [クライアント ユーザー名] フィールドは、ログをクリアしたユーザーを識別します。プライマリユーザー名はシステムに対応し、クライアントユーザー名はログをクリアしたユーザーを示します。
• イベント 1102: [アカウント名] フィールドと [ドメイン名] フィールドは、ログをクリアしたユーザーを識別します。ログオン ID を使用すると、ログオン イベントおよび同じログオン セッション中にログに記録された他のイベントに逆方向に関連付けることができます。

T1070 の概要 - Windows イベントログ クリアされたプレイブック

1. sn_si.user および flow_designer ロールを持つユーザーとしてログインします。
2. 移動先 すべて > Flow Designer をクリックし、[ T1070 - Windows イベントログクリア済み (T1070 - Windows Events Logs Cleared Playbook)] を選択します。
3. (オプション)[T1070 - Windows イベントログ クリア済み Playbook] フローのコピーを作成し、必要な変更を加えることができます。Playbook のフローのコピーを作成するには、[ アイコンをクリックし、[ フローのコピー] を選択します。このステップは、フローをカスタマイズまたは変更する場合にのみ実行します。

   

4. Playbook をアクティブ化します。
   • ベースシステムで利用可能な Playbook を使用するには、メインフローをアクティブ化します。
   • 必要な変更を行った後、コピーしたフローをアクティブ化します。

トリガー条件:この Playbook は、 カテゴリ が [無許可のアクセス] の場合にトリガーされ、セキュリティインシデントに関連付けられます。