上記についてわかったことを適宜記録していきます。
1.Windows event log cleared(Lantern Home)
以下のサイトには Windows イベントログを対象にしたSPLが書かれています。
Windows event log cleared(Lantern Home)
https://lantern.splunk.com/Security/UCE/Guided_Insights/Threat_hunting/Detecting_a_ransomware_attack/Windows_event_log_cleared
2.付録 L: 監視するイベント
以下のサイトには監視すべきWindowsイベント(主にサーバ)が記載されています。
付録 L: 監視するイベント
https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor
1100(S): The event logging service has shut down.
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-1100
1102(S): The audit log was cleared.
https://learn.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-1102
3.Clear-EventLog
PowerShellにてイベントログをクリアする方法が書かれています。
Clear-EventLog
https://learn.microsoft.com/ja-jp/powershell/module/microsoft.powershell.management/clear-eventlog?view=powershell-5.1
コメントを残す