T1070 - Windows 이벤트 로그 지워짐 플레이북 사용

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 2분

    • 이 플레이북을 사용하여 사용자가 보안 로그를 제거하는 이벤트 유형을 추적하는 인시던트를 조사합니다. 다음 단계에서는 T1070 - Windows 이벤트 로그 지워짐 플레이북에서 사용할 수 있는 작업, 작업 및 하위 흐름에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1의 경보에서 사용자 상세 정보를 가져옵니다.
    2. 작업 2에서 사용자가 식별되었는지 여부를 확인합니다.
    3. 작업 3에서 사용자를 식별하지 않은 경우 다음 단계를 수행합니다.
      1. 작업 4에서 CMDB(구성 관리 데이터베이스)에서 호스트 소유자 상세 정보를 확인합니다.
      2. 작업 5에서 사용자가 CMDB에서 식별되었는지 여부를 확인합니다.

        사용자가 CMDB에서 식별된 경우 작업 5에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.

        그림 1. T1070 - Windows 이벤트 로그가 지워짐 플레이북
        Windows 이벤트 로그 지워짐 플레이북에서 사용자가 식별되지 않은 경우의 응답 작업
      3. 작업 6에서 사용자가 CMDB에서 식별되지 않은 경우 다음 단계를 수행합니다.
        1. 작업 7에서 인시던트를 생성하여 시스템 소유자와 로그를 삭제한 개인을 식별합니다.
        2. 작업 8에서는 인시던트를 제기한 후 사용자를 식별했는지 여부를 확인합니다.

          인시던트를 제기한 후 사용자가 식별되면 작업 8에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.

        3. 작업 9에서 인시던트를 제기한 후 사용자를 식별하지 못한 경우 다음 단계를 수행합니다.
          1. 동작 10에서는 동료들과 다음 행동 방침에 대해 논의합니다.
          2. 작업 11에서 호스트 시스템을 격리합니다.
          3. 작업 12에서 생성되었을 수 있는 원치 않는 파일을 제거하고 불량 계정을 삭제합니다.
          4. 행동 13에서는 격납고를 해제하고 시스템을 작동 표준으로 되돌립니다.
          5. 작업 14에서 작업을 종결하기 전에 사후 인시던트 검토를 완료합니다.

            작업 15에서 흐름이 종료됩니다.

    4. 작업 16에서 사용자가 식별된 경우 사용자의 역할을 확인하여 사용자에게 로그를 지우거나 제거할 수 있는 권한이 있는지 확인합니다.
    5. 작업 17에서 사용자에게 연락하여 비즈니스 정당성의 유효성을 확인합니다.
      제공된 이메일 템플릿을 사용하여 사용자에게 연락할 수 있습니다.
      그림 2. T1070 사용 - Windows 이벤트 로그 지워짐 플레이북
      Windows 이벤트 로그 지워짐 플레이북에서 사용자가 식별된 경우의 응답 작업
    6. 작업 18에서 유효한 비즈니스 정당성이 제공되었는지 여부를 확인합니다.
    7. 조치 19에서 유효한 비즈니스 정당성이 제공된 경우 조치 20에서 지금까지의 결과를 문서화합니다.
      플로우가 종료됩니다.
    8. 작업 21에서 유효한 비즈니스 정당성이 제공되지 않은 경우 다음 단계를 수행합니다.
      1. 행동 22에서 동료들과 다음 행동 방침에 대해 논의합니다.
      2. 작업 23에서 호스트 시스템을 격리합니다.
      3. Action 24에서 생성되었을 수 있는 원치 않는 파일을 제거하고 불량 계정을 삭제합니다.
      4. 액션 25에서는 격납고를 해제하고 시스템을 작동 표준으로 되돌립니다.
        플로우가 종료됩니다.
    9. 작업 26에서 작업을 종결하기 전에 사후 인시던트 검토를 완료합니다.