Ce playbook fournit des étapes de rattrapage pour enquêter sur les incidents qui suivent les types d’événements pour lesquels l’utilisateur supprime les journaux de sécurité. Chaque fois que le journal de sécurité est effacé, les événements 517 et 1102 sont consignés, quel que soit l’état de la politique d’audit des événements système.

Cette alerte peut suivre les types d’événements suivants :

• Événement 517 : Les champs Nom d’utilisateur principal et Nom d’utilisateur du client identifient l’utilisateur qui a effacé le journal. Le nom d’utilisateur principal correspond au système et le nom d’utilisateur client indique l’utilisateur qui a effacé le journal.
• Événement 1102 : les champs Nom de compte et Nom de domaine identifient l’utilisateur qui a effacé le journal. L’ID de connexion vous permet d’effectuer une corrélation en arrière avec l’événement de connexion et d’autres événements enregistrés au cours de la même session de connexion.