Impair Defenses: Disable Windows Event Logging
Ver en attack.mitre.org →7 syscalls implementan esta técnica
- NtAccessCheckAndAuditAlarm
Realiza una comprobación de acceso estándar y escribe una entrada de alarma de auditoría en el log de Seguridad.
- NtAccessCheckByTypeAndAuditAlarm
Realiza una comprobación de acceso tipada y registra una entrada de alarma de auditoría en el log de Seguridad.
- NtAccessCheckByTypeResultListAndAuditAlarm
Comprobación de acceso tipada que devuelve una lista de resultados por tipo y registra entradas de alarma de auditoría en el log de Seguridad.
- NtPrivilegeObjectAuditAlarm
Emite una entrada del log de Seguridad reportando el uso de uno o más privilegios sobre un objeto específico.
- NtPrivilegedServiceAuditAlarm
Emite una entrada del log de Seguridad reportando una operación de servicio privilegiada (evento 4673).
- NtCloseObjectAuditAlarm
Emite la entrada del log de Seguridad que se empareja con una apertura audit-alarm anterior, marcando el cierre del handle.
- NtDeleteObjectAuditAlarm
Emite la entrada del log de Seguridad que registra la eliminación de un objeto auditado.