<  Back to rules search

Windows Audit Log Cleared

windows

Classification:

attack

Tactic:

Technique:

Cette page n'est pas encore disponible en français, sa traduction est en cours.
Si vous avez des questions ou des retours sur notre projet de traduction actuel, n'hésitez pas à nous contacter.

Goal

Detect when a user clears Windows Security logs.

Strategy

Monitoring of Windows event logs where @evt.id is 1102.

Triage and response

Verify if {{@Event.UserData.LogFileCleared.SubjectUserName}} has a legitimate reason to clear the security event logs on {{host}}.

Changelog

  • 27 October 2022 - updated tags.