Exposer la falsification des journaux d’événements avec l’arbre décisionnel IA d’Uncoder AI pour les requêtes Splunk

L’une des tactiques les plus avancées dans les playbooks des attaquants consiste à modifier les configurations des journaux d’événements pour effacer les traces de compromis. Détecter de telles tentatives via des modifications du Registre Windows est complexe—souvent nécessitant des requêtes Splunk détaillées qui filtrent par clés de registre et permissions.

Pour interpréter rapidement ces requêtes, les analystes se tournent vers la fonctionnalité Arbre de Décision généré par l’IA d’Uncoder AI La fonctionnalité ne se contente pas de résumer les requêtes—elle les cartographie visuellement en branches logiques, aidant les équipes de sécurité à comprendre l’intention, la portée et les chemins d’exécution en quelques secondes.

Explorer Uncoder AI

Cas d’utilisation : Détection de la manipulation des journaux d’événements basée sur le Registre

Dans cet exemple, une requête SPL Splunk suit les modifications apportées aux chemins de registre liés à :

• SYSTEM\CurrentControlSet\Services\EventLog
  
  
• Policies\Microsoft\Windows\EventLog
  
  
• Microsoft\Windows\CurrentVersion\WINEVT\Channels
  
  

Ces clés sont souvent ciblées pour désactiver ou rediriger la rétention des journaux, en particulier via des modifications de permissions sur CustomSD or ChannelAccess.

La règle vérifie également les modèles de Security Descriptor Definition Language (SDDL) dans le champ Details —comme D:(…—qui signifient des modifications directes de permission, un signal d’alarme dans les scénarios de manipulation de journaux.