Impair Defenses: Disable Windows Event Logging
Auf attack.mitre.org ansehen →7 Syscalls implementieren diese Technik
- NtAccessCheckAndAuditAlarm
Führt eine Standard-Zugriffsprüfung aus und schreibt einen Audit-Alarm-Eintrag ins Security-Eventlog.
- NtAccessCheckByTypeAndAuditAlarm
Führt eine typisierte Zugriffsprüfung aus und schreibt einen Audit-Alarm-Eintrag ins Security-Eventlog.
- NtAccessCheckByTypeResultListAndAuditAlarm
Typisierte Zugriffsprüfung mit Ergebnisliste pro Typ, die zugleich Audit-Alarm-Einträge ins Security-Eventlog schreibt.
- NtPrivilegeObjectAuditAlarm
Emittiert einen Security-Eventlog-Eintrag, der die Nutzung eines oder mehrerer Privilegien an einem bestimmten Objekt meldet.
- NtPrivilegedServiceAuditAlarm
Emittiert einen Security-Eventlog-Eintrag, der eine privilegierte Dienst-Operation meldet (Event 4673).
- NtCloseObjectAuditAlarm
Emittiert den Security-Eventlog-Eintrag, der zu einem früheren Audit-Alarm-Open passt und das Schließen des Handles markiert.
- NtDeleteObjectAuditAlarm
Emittiert den Security-Eventlog-Eintrag, der die Löschung eines auditierten Objekts protokolliert.