Verwenden Sie das Playbook T1070 – gelöschte Windows-Ereignisprotokolle

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die Ereignistypen nachverfolgen, bei denen der Anwender Sicherheitsprotokolle entfernt. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook T1070 – gelöschte Windows-Ereignisprotokolle verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, rufen Sie in Aktion 1 die Anwenderdetails aus der Warnung ab.
    2. Überprüfen Sie in Aktion 2, ob der Anwender identifiziert wurde oder nicht.
    3. Wenn der Anwender in Aktion 3 nicht identifiziert wurde, führen Sie die folgenden Schritte aus:
      1. Überprüfen Sie in Aktion 4 die CMDB (Configuration Management Database) auf Details zum Hostbesitzer.
      2. Überprüfen Sie in Aktion 5, ob der Anwender aus der CMDB identifiziert wurde oder nicht.

        Wenn der Anwender aus der CMDB identifiziert wurde, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow endet.

        Abbildung : 1. T1070: Playbook für Windows-Ereignisprotokolle gelöscht
        Antwortaufgabe, wenn der Anwender im Playbook „gelöschte Windows-Ereignisprotokolle“ nicht identifiziert wurde
      3. Wenn der Anwender in Aktion 6 nicht über die CMDB identifiziert wurde, führen Sie die folgenden Schritte aus:
        1. Erstellen Sie in Aktion 7 einen Incident, um den Systembesitzer und die Person zu identifizieren, die die Protokolle gelöscht hat.
        2. Überprüfen Sie in Aktion 8, ob der Anwender nach dem Auslösen eines Incident identifiziert wurde oder nicht.

          Wenn der Anwender nach dem Auslösen eines Incident identifiziert wurde, wird in Aktion 8 eine manuelle Antwortaufgabe erstellt, und der Flow endet.

        3. Wenn der Anwender in Aktion 9 nach dem Auslösen eines Incident nicht identifiziert wurde, führen Sie die folgenden Schritte aus:
          1. Besprechen Sie in Aktion 10 die nächste Vorgehensweise mit Kollegen.
          2. Isolieren Sie in Aktion 11 das Hostsystem.
          3. Entfernen Sie in Aktion 12 alle unerwünschten Dateien, die möglicherweise erstellt wurden, und löschen Sie die nicht autorisierten Accounts.
          4. Heben Sie in Aktion 13 die Eindämmung auf, und bringen Sie die Systeme wieder auf Betriebsstandards zurück.
          5. Schließen Sie in Aktion 14 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.

            In Aktion 15 endet der Flow.

    4. Wenn der Anwender in Aktion 16 identifiziert wurde, überprüfen Sie die Rolle des Anwenders, um festzustellen, ob der Anwender berechtigt ist, Protokolle zu löschen oder zu entfernen.
    5. Wenden Sie sich in Aktion 17 an den Anwender, um seine geschäftliche Begründung zu validieren.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Anwender zu kontaktieren.
      Abbildung : 2. Mit dem Playbook T1070 – Windows-Ereignisprotokolle wurde gelöscht
      Antwortaufgabe, wenn der Anwender im Playbook „gelöschte Windows-Ereignisprotokolle“ identifiziert wurde
    6. Überprüfen Sie in Aktion 18, ob eine gültige geschäftliche Begründung angegeben wurde oder nicht.
    7. Wenn in Aktion 19 eine gültige geschäftliche Begründung angegeben wurde, dokumentieren Sie in Aktion 20 die bisherigen Ergebnisse.
      Der Flow endet.
    8. Wenn in Aktion 21 keine gültige geschäftliche Begründung angegeben wurde, führen Sie die folgenden Schritte aus:
      1. Besprechen Sie in Aktion 22 die nächste Vorgehensweise mit Kollegen.
      2. Isolieren Sie in Aktion 23 das Hostsystem.
      3. Entfernen Sie in Aktion 24 alle unerwünschten Dateien, die möglicherweise erstellt wurden, und löschen Sie die nicht autorisierten Accounts.
      4. Heben Sie in Aktion 25 die Eindämmung auf, und bringen Sie die Systeme wieder auf Betriebsstandards zurück.
        Der Flow endet.
    9. Schließen Sie in Aktion 26 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.