T1562.002
غیرفعال کردن Windows Event Logging
Disable Windows Event Loggingتوضیحات
مهاجمان Windows Event Logging را غیرفعال میکنند تا از ثبت فعالیتهای مخرب جلوگیری کنند. این شامل توقف سرویس Windows Event Log، تغییر تنظیمات audit و غیرفعال کردن کانالهای logging خاص میشود.
روشهای شناسایی
نظارت بر وضعیت Windows Event Logging. شناسایی توقف سرویس EventLog. بررسی تغییرات تنظیمات audit. ارسال لاگها به SIEM مرکزی.
روشهای مقابله
ارسال لاگها به SIEM مرکزی. محدود کردن دسترسی به تغییر logging. فعالسازی tamper protection. نظارت بر وضعیت logging. پیادهسازی immutable logging.
تکنیک اصلی
T1562Impair Defenses
اختلال در دفاع
مهاجمان قابلیتهای دفاعی را غیرفعال یا تضعیف میکنند تا از شناسایی جلوگیری کنند. این تکنیک شامل غیرفعال کردن آنتیویروس، EDR، فایروال، logging و سایر ابزارهای امنیتی میشود. مهاجمان اغلب این کار را قبل از اجرای مرحله اصلی حمله انجام میدهند.