Use o playbook T1003 - Dump de credenciais - Mimikatz DCsync

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Use este playbook para investigar incidentes suspeitos de serem causados pelo Mimikatz DCSync. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no Playbook do T1003 - Despejo de credenciais - Mimikatz DCsync.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, verifique a atividade do host no Splunk e procure atividades suspeitas.
    2. Na Ação 2, identifique o proprietário do servidor/endpoint/VM.
      Se o usuário estiver online, execute o CrowdStrike EDR para coletar um escopo melhor das atividades do sistema.
    3. Em Ação 3, colete informações sobre as outras atividades da conta do usuário.
    4. Na Ação 4, com base na investigação, verifique se o servidor/endpoint/VM já foi usado para despejo de credenciais.
    5. Na Ação 5, se o servidor/endpoint/VM não foi usado para despejo de credenciais, execute as seguintes ações:
      Figura 1. T1003 - Dump de credenciais - Playbook do Mimikatz DCsync
      Tarefa de resposta para verificar se o servidor/endpoint/VM foi usado para despejo de credenciais.
      1. Na Ação 6, atualize a consulta de alerta, se necessário.
      2. Na Ação 7, atualize a lista de permissões, se necessário.
      3. Na Ação 8, documente as descobertas até agora.
      4. Em Ação 9, inicie uma revisão pós-incidente.
        Na Ação 10, o fluxo termina.
    6. Se o servidor/endpoint/VM foi usado para despejo de credenciais, na Ação 11, entre em contato com o usuário.
      Figura 2. Usando o playbook T1003 - Dump de credenciais - Mimikatz DCsync
      Tarefas de resposta quando o servidor/endpoint/VM foi usado para despejo de credenciais
    7. Na Ação 12, entre em contato com o usuário para validar a justificativa de negócios.
    8. Na Ação 13, se o usuário forneceu uma justificativa comercial válida, execute as seguintes ações:
      1. Na Ação 14, documente as descobertas até agora.
      2. Em Ação 15, inicie uma revisão pós-incidente.
        Na Ação 16, o fluxo termina.
    9. Se o usuário não forneceu uma justificativa comercial válida, na Ação 17, coloque o sistema em quarentena.
    10. Na Ação 18, remova todos os arquivos indesejados que possam ter sido criados ou excluídos pelas contas não autorizadas.
    11. Na Ação 19, levante a contenção e traga os sistemas de volta aos padrões operacionais.
    12. Em Ação 20, conclua a revisão pós-incidente antes de fechar a tarefa.