Verwenden Sie das Playbook „T1070 – gelöschte Windows-Ereignisprotokolle“

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

2 Minuten Lesedauer

Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die Ereignistypen nachverfolgen, bei denen der Anwender Sicherheitsprotokolle entfernt. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „T1070 – gelöschte Windows-Ereignisprotokolle“ verfügbar sind.

Vorbereitungen

Erforderliche Rolle:

sn_si.admin
Flow_Designer

Prozedur

Wenn das Playbook ausgelöst wird und die Ausführung beginnt, erhalten Sie in Aktion 1 die Anwenderdetails aus der Warnung.
Überprüfen Sie in Aktion 2, ob der Anwender identifiziert wurde oder nicht.
Führen Sie in Aktion 3 die folgenden Schritte aus, wenn der Anwender nicht identifiziert wurde:
1. Überprüfen Sie in Aktion 4 die CMDB (Konfigurationsverwaltungsdatenbank) auf die Details des Hostbesitzers.
2. Überprüfen Sie in Aktion 5, ob der Anwender aus der CMDB identifiziert wurde oder nicht.
  
  Wenn der Anwender in der CMDB identifiziert wurde, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow endet.
  
  Abbildung : 1. T1070: Playbook für Windows-Ereignisprotokolle gelöscht
3. Führen Sie in Aktion 6 die folgenden Schritte aus, wenn der Anwender nicht in der CMDB identifiziert wurde:
  1. Erstellen Sie in Aktion 7 einen Incident, um den Systembesitzer und die Person zu identifizieren, die die Protokolle gelöscht hat.
  2. Überprüfen Sie in Aktion 8, ob der Anwender nach dem Auslösen eines Incidents identifiziert wurde oder nicht.
    Wenn der Anwender nach dem Auslösen eines Incidents identifiziert wurde, wird in Aktion 8 eine manuelle Antwortaufgabe erstellt, und der Flow endet.
  3. Führen Sie in Aktion 9 die folgenden Schritte aus, wenn der Anwender nach dem Auslösen eines Incidents nicht identifiziert wurde:
    1. Besprechen Sie in Aktion 10 die nächste Vorgehensweise mit Kollegen.
    2. Isolieren Sie in Aktion 11 das Hostsystem.
    3. Entfernen Sie in Aktion 12 alle unerwünschten Dateien, die möglicherweise erstellt wurden, und löschen Sie die nicht autorisierten Accounts.
    4. Heben Sie in Aktion 13 die Eindämmung auf, und bringen Sie die Systeme wieder auf Betriebsstandards zurück.
    5. Schließen Sie in Aktion 14 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.
      In Aktion 15 endet der Flow.
Wenn der Anwender in Aktion 16 identifiziert wurde, überprüfen Sie die Rolle des Anwenders, um festzustellen, ob der Anwender berechtigt ist, Protokolle zu löschen oder zu entfernen.
Wenden Sie sich in Aktion 17 an den Anwender, um seine geschäftliche Begründung zu validieren.
Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Anwender zu kontaktieren.
Abbildung : 2. Mit T1070 – Windows-Ereignisprotokolle wurde das Playbook gelöscht
Überprüfen Sie in Aktion 18, ob eine gültige geschäftliche Begründung angegeben ist oder nicht.
Wenn in Aktion 19 eine gültige geschäftliche Begründung angegeben wurde, dokumentieren Sie in Aktion 20 die bisherigen Ergebnisse.
Der Flow endet.
Wenn in Aktion 21 keine gültige geschäftliche Begründung angegeben wurde, führen Sie die folgenden Schritte aus:
1. Besprechen Sie in Aktion 22 die nächste Vorgehensweise mit Kollegen.
2. Isolieren Sie in Aktion 23 das Hostsystem.
3. Entfernen Sie in Aktion 24 alle unerwünschten Dateien, die möglicherweise erstellt wurden, und löschen Sie die nicht autorisierten Accounts.
4. Heben Sie in Aktion 25 die Eindämmung auf, und bringen Sie die Systeme wieder auf Betriebsstandards zurück.
  Der Flow endet.
Schließen Sie in Aktion 26 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.