← Retour à l'index ATT&CK
T1562.002sub-technique
Impair Defenses: Disable Windows Event Logging
Voir sur attack.mitre.org →7 syscalls implémentent cette technique
- NtAccessCheckAndAuditAlarm
Effectue un contrôle d'accès standard et écrit une entrée d'alarme d'audit dans le journal Sécurité.
- NtAccessCheckByTypeAndAuditAlarm
Effectue un contrôle d'accès typé et inscrit une entrée d'alarme d'audit dans le journal Sécurité.
- NtAccessCheckByTypeResultListAndAuditAlarm
Contrôle d'accès typé renvoyant une liste de résultats par type, tout en écrivant des entrées d'alarme d'audit dans le journal Sécurité.
- NtPrivilegeObjectAuditAlarm
Émet une entrée du journal Sécurité signalant l'utilisation d'un ou plusieurs privilèges sur un objet spécifique.
- NtPrivilegedServiceAuditAlarm
Émet une entrée du journal Sécurité signalant une opération de service privilégiée (événement 4673).
- NtCloseObjectAuditAlarm
Émet l'entrée du journal Sécurité associée à une ouverture audit-alarm antérieure, marquant la fermeture du handle.
- NtDeleteObjectAuditAlarm
Émet l'entrée du journal Sécurité qui enregistre la suppression d'un objet audité.