Este playbook fornece etapas de correção para investigar incidentes que rastreiam tipos de evento em que o usuário remove logs de segurança. Sempre que o log de segurança é limpo, os eventos 517 e 1102 são registrados independentemente do status da política de evento do sistema de auditoria.

Este alerta pode rastrear os seguintes tipos de eventos:

• Evento 517 : Os campos Nome de usuário primário e Nome de usuário do cliente identificam o usuário que limpou o log. O nome de usuário primário corresponde ao sistema e o nome de usuário do cliente indica o usuário que limpou o log.
• Evento 1102 : Os campos Nome da conta e Nome do domínio identificam o usuário que limpou o log. O ID de logon permite que você correlacione o evento de logon e outros eventos registrados durante a mesma sessão de logon.