k2-ornata(個人的「やってみたこと」ブログ)

AzureもしくはAVD上のログ削除(T1070.001)について調べてみた

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

上記についてわかったことを適宜記録していきます。

1.Windows event log cleared(Lantern Home)

以下のサイトには Windows イベントログを対象にしたSPLが書かれています。

Windows event log cleared(Lantern Home)
https://lantern.splunk.com/Security/UCE/Guided_Insights/Threat_hunting/Detecting_a_ransomware_attack/Windows_event_log_cleared

2.付録 L: 監視するイベント

以下のサイトには監視すべきWindowsイベント(主にサーバ)が記載されています。

付録 L: 監視するイベント
https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor

1100(S): The event logging service has shut down.
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-1100

1102(S): The audit log was cleared.
https://learn.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-1102

3.Clear-EventLog

PowerShellにてイベントログをクリアする方法が書かれています。

Clear-EventLog
https://learn.microsoft.com/ja-jp/powershell/module/microsoft.powershell.management/clear-eventlog?view=powershell-5.1

Related posts:

  1. MITRE ATT&CK Office 365 Matrixと Sigma、Splunkルールをマッピングしてみた
  2. M365用のSigmaルールにどのMITRE ATT&CKテクニックに該当するものがあるか調べてみた
  3. Zscaler Internet Accessのセキュリティログ監視に役立ちそうな情報を収集してみた
  4. DeTT&CTを使って指定したログソースでMITER ATT&CKのどのTTPsが検知できる可能性があるのか確認してみた

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA