det0532-detection-of-event-log-clearing-on-windows-via-behavioral-chain

# DET0532 — Detection of Event Log Clearing on Windows via Behavioral Chain ## Descrição A limpeza de logs de eventos do Windows ([[t1070-001-clear-windows-event-logs|T1070.001 — Clear Windows Event Logs]]) é uma das primeiras ações de evasão executadas por adversários após comprometimento, visando destruir evidências forenses de suas atividades. No Windows, os event logs principais alvejados são Security (4624, 4625, 4688), System, Application e os logs do PowerShell e Sysmon. Os métodos incluem: `wevtutil cl <logname>`, API `ClearEventLogW`, uso de `Get-WinEvent | Clear-EventLog` em PowerShell, ou acesso direto a arquivos `.evtx` em `C:\Windows\System32\winevt\Logs\`. A paradoxo desta detecção é que o próprio ato de limpar os logs gera eventos — o Windows registra Event ID 1102 (Security log cleared) e Event ID 104 (System log cleared) no momento da limpeza, antes que o log sejá apagado. A cadeia comportamental detectável inclui: (1) autenticação com privilégio elevado, (2) execução de `wevtutil.exe` ou PowerShell com `Clear-EventLog`, (3) geração de Event IDs 1102/104 e (4) cessação abrupta de eventos no log afetado. A detecção deve alertar imediatamente no Event ID 1102/104, pois são os únicos artefatos que sobrevivem à limpeza. A estratégia é complementada pela centralização de logs em um SIEM externo (Splunk, Elastic, Microsoft Sentinel) — se os logs forem encaminhados em tempo real para um repositório remoto, a limpeza local não elimina a evidência. A implementação de Windows Event Forwarding (WEF) com servidores de coleta dedicados é o controle defensivo fundamental que transforma esta técnica de evasão em apenas uma indicator of compromise (IoC) detectável. ## Indicadores de Detecção - Windows Event ID 1102 (Security Audit Log cleared) gerado por qualquer conta - Windows Event ID 104 (System Log cleared) no Event Viewer do System log - Execução de `wevtutil.exe` com argumentos `cl`, `clear-log` ou `sl` (set-log) por processo não-sistema - PowerShell executando `Clear-EventLog`, `Remove-EventLog` ou `wevtutil` via `Invoke-Expression` - Falha súbita no encaminhamento de eventos (WEF) para servidor de coleta centralizada - Acesso direto a arquivos `.evtx` em `C:\Windows\System32\winevt\Logs\` por processo que não sejá o serviço Windows Event Log ## Técnicas Relacionadas - [[t1070-001-clear-windows-event-logs|T1070.001 — Clear Windows Event Logs]] — técnica principal coberta por esta estratégia - [[t1070-indicator-removal|T1070 — Indicator Removal]] — categoria ampla de remoção de indicadores - [[t1562-impair-defenses|T1562 — Impair Defenses]] — desativação de mecanismos de monitoramento - [[t1059-001-powershell|T1059.001 — PowerShell]] — execução de comandos de limpeza via PowerShell - [[t1078-valid-accounts|T1078 — Valid Accounts]] — uso de credenciais privilegiadas para executar limpeza ## Analytics Relacionadas - [[an1472-analytic-1472|AN1472 — Analytic 1472]] --- *Fonte: [MITRE ATT&CK — DET0532](https://attack.mitre.org/detectionstrategies/DET0532)*