Utiliser le T1070 - Journaux d’événements Windows effacés Playbook

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui suivent les types d’événements pour lesquels l’utilisateur supprime les journaux de sécurité. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le T1070 : Playbook Journaux d’événements Windows effacés.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, obtenez les détails de l’utilisateur à partir de l’alerte.
    2. Dans l’action 2, vérifiez si l’utilisateur a été identifié ou non.
    3. Dans l’action 3, si l’utilisateur n’a pas été identifié, procédez comme suit :
      1. Dans l’action 4, vérifiez la CMDB (Configuration Management Database) pour les détails du propriétaire de l’hôte.
      2. Dans l’action 5, vérifiez si l’utilisateur a été identifié à partir de la CMDB ou non.

        Si l’utilisateur a été identifié à partir de la CMDB, une tâche de réponse manuelle est créée dans l’action 5 et le flux se termine.

        Figure 1. T1070 : Playbook effacé des journaux d’événements Windows
        Tâche de réponse si l’utilisateur n’a pas été identifié dans les journaux des événements Windows Playbook effacé
      3. Dans l’action 6, si l’utilisateur n’a pas été identifié à partir de la CMDB, procédez comme suit :
        1. Dans l’action 7, créez un incident pour identifier le propriétaire du système et la personne qui a supprimé les journaux.
        2. Dans l’action 8, vérifiez si l’utilisateur a été identifié après avoir soumis un incident ou non.

          Si l’utilisateur a été identifié après avoir soumis un incident, une tâche de réponse manuelle est créée dans l’action 8 et le flux se termine.

        3. Dans l’action 9, si l’utilisateur n’a pas été identifié après avoir soumis un incident, procédez comme suit :
          1. Dans l’action 10, discutez du prochain plan d’action avec vos pairs.
          2. Dans l’action 11, isolez le système hôte.
          3. Dans l’action 12, supprimez tous les fichiers indésirables qui ont pu être créés et supprimez les comptes indésirables.
          4. Dans l’action 13, levez le confinement et ramenez les systèmes aux normes opérationnelles.
          5. Dans l’action 14, terminez la revue post-incident avant de fermer la tâche.

            Dans l’action 15, le flux se termine.

    4. Dans l’action 16, si l’utilisateur a été identifié, vérifiez son rôle pour voir s’il est autorisé à effacer ou supprimer des journaux.
    5. Dans l’action 17, contactez l’utilisateur pour valider sa justification commerciale.
      Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur.
      Figure 2. Utilisation du T1070 : Playbook des journaux d’événements Windows effacés
      Tâche de réponse si l’utilisateur a été identifié dans le Playbook des journaux d’événements Windows effacé
    6. Dans l’action 18, vérifiez si une justification commerciale valide est fournie ou non.
    7. Dans l’action 19, s’il y avait une justification commerciale valide fournie, alors dans l’action 20, documentez les résultats jusqu’à présent.
      Le flux se termine.
    8. Dans l’action 21, si aucune justification commerciale valide n’a été fournie, procédez comme suit :
      1. Dans l’action 22, discutez du prochain plan d’action avec vos pairs.
      2. Dans l’action 23, isolez le système hôte.
      3. Dans Action 24, supprimez tous les fichiers indésirables qui ont pu être créés et supprimez les comptes indésirables.
      4. Dans l’action 25, lever le confinement et ramener les systèmes aux normes opérationnelles.
        Le flux se termine.
    9. Dans l’action 26, terminez la revue post-incident avant de fermer la tâche.