이 Playbook을 사용하여 Mimikatz DCShadow로 인해 발생한 것으로 의심되는 보안 인시던트를 조사합니다. 다음 단계에서는 T1003 - 방어 회피 - Mimikatz DCShadow 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.
시작하기 전에
필요한 역할:
- sn_si.admin
- flow_designer
프로시저
-
플레이북이 트리거되고 실행이 시작되면 작업 1에서 새 DC(도메인 컨트롤러) 생성을 담당하는 계정을 확인합니다.
-
작업 2에서는 사용자에게 연락하여 비즈니스 정당성을 확인합니다.
제공된 이메일 템플릿을 사용하여 사용자에게 연락할 수 있습니다.
-
작업 3에서는 사용자가 유효한 비즈니스 정당성을 제공했는지 확인합니다.
-
작업 4에서 사용자가 유효한 비즈니스 정당성을 제공한 경우 다음 단계를 수행합니다.
-
작업 5에서는 지금까지의 결과를 문서화합니다.
-
작업 6에서 사후 인시던트 검토를 시작합니다.
작업 7에서는 사후 인시던트 검토가 완료되면 플로우가 종료됩니다.
-
작업 8에서 사용자가 유효한 비즈니스 정당성을 제공하지 않은 경우 다음 단계를 수행합니다.
-
작업 9에서는 관련된 모든 계정, 컴퓨터 및 기타 장치를 잠그거나 격리합니다.
-
작업 10에서는 잠긴 계정에 대한 포렌식 조사를 수행하고 데이터가 유출되었는지 또는 악성 코드가 주입되었는지 확인합니다.
-
작업 11에서 영향을 받는 자원의 이미지를 다시 설치합니다.
-
작업 12에서는 봉쇄를 해제하고 시스템을 운영 표준으로 되돌립니다.
-
작업 13에서 사후 인시던트 검토를 완료한 후 작업을 종결하십시오.