این قانون استفاده از ابزار خط فرمان appcmd.exe را برای غیرفعال کردن لاگگیری HTTP در سرویس وب IIS شناسایی میکند. مهاجمان از این تکنیک برای پنهان کردن ردپای خود و جلوگیری از ثبت درخواستهای وب مخرب (مانند اسکنهای آسیبپذیری یا آپلود وبشل) استفاده میکنند.
با اجرای این دستور، سرور وب دیگر هیچ اطلاعاتی درباره درخواستهای دریافتی (مانند IP منبع، URL، و کدهای وضعیت) ثبت نمیکند که کار تیمهای پاسخ به حادثه را بسیار دشوار میسازد.
msiexec.exe یا iissetup.exe) ممکن است به طور موقت تنظیمات لاگ را تغییر دهند (این قانون به طور خودکار این موارد را نادیده میگیرد).برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:
dontlog:true روی یک سرور عملیاتی (Production) بدون تیکت تغییر یا اطلاع قبلی.appcmd.exe را اجرا کرده است؟ (cmd.exe، powershell.exe یا w3wp.exe).هنگام تحلیل لاگهای سیستمی در Splunk، این فیلدها حیاتی هستند: