T1003 - 防御回避 - Mimikatz DCShadow プレイブックを使用する

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:1分

    • このプレイブックを使用して、Mimikatz DCShadow が原因と疑われるセキュリティインシデントを調査します。以下に示すステップは、T1003 - 防御回避 - Mimikatz DCShadow プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 で、新しい DC (ドメインコントローラー) の作成を担当するアカウントを見つけます。
    2. アクション 2 では、ビジネス上の根拠を検証するためにユーザーに連絡します。
      提供されたメールテンプレートを使用して、ユーザーに連絡できます。
    3. アクション 3 では、ユーザーが有効なビジネス上の根拠を提供したかどうかを確認します。
    4. アクション 4 で、ユーザーが有効なビジネス上の根拠を提供した場合は、次の手順を実行します。
      1. アクション 5 では、これまでの結果を文書化します。
      2. アクション 6 では、インシデントの事後レビューを開始します。
        アクション 7 では、インシデントの事後レビューの後、フローが終了します。
    5. アクション 8 では、ユーザーが有効なビジネス上の正当な理由を提供しなかった場合に、次の手順を実行します。
      1. アクション 9 では、関連するすべてのアカウント、コンピューター、およびその他のデバイスをロックダウンまたは隔離します。
      2. アクション 10 では、ロックダウンされたアカウントについてフォレンジック調査を実行し、データが盗み出されていないか、悪意のあるコードが挿入されていないかを特定します。
      3. アクション 11 では、影響を受けるリソースを再イメージ化します。
      4. アクション 12 では、封じ込めを解除し、システムを運用標準に戻します。
      5. アクション 13 では、タスクをクローズする前にインシデントの事後レビューを完了します。