Richten Sie das Playbook „T1003 – Dumping von Anmeldeinformationen – Mimikatz DCsync“ ein

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Führen Sie die folgenden Schritte aus, um das Playbook T1003 – Dumping von Anmeldeinformationen – Mimikatz DCsync einzurichten.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Security Operations Spoke (sn_sec_spoke) installiert ist.

    Prozedur

    1. Melden Sie sich als -Benutzer mit den Rollen sn_si.user und flow_designer an.
    2. Navigieren zu Alle > Flow Designer und wählen Sie das Playbook T1003 – Dumping von Anmeldeinformationen – Mimikatz DCsync aus.
    3. Wahlweise: Erstellen Sie eine Kopie des Playbook-Flows „T1003 – Dumping von Anmeldeinformationen – Mimikatz DCsync“, und nehmen Sie die erforderlichen Änderungen vor.

      Um eine Kopie des Flows des Playbooks zu erstellen, wählen Sie das Menüsymbol Weitere Aktionen und dann Flow kopierenaus. Führen Sie diesen Schritt nur aus, wenn Sie den Flow anpassen oder bestimmte Änderungen vornehmen möchten.

      Abbildung : 1. T1003: Dumping von Anmeldeinformationen – Mimikatz DCSync-Playbook
      Übersicht über das Playbook T1003 – Dumping von Anmeldeinformationen – Mimikatz DCSync.
    4. Aktivieren Sie die Playbooks.
      1. Aktivieren Sie den Haupt-Flow, um das im Basissystem verfügbare Playbook zu verwenden.
      2. Aktivieren Sie die kopierten Flows, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
    5. Legen Sie eine Auslöserbedingung für das Playbook fest.

      Dieses Playbook wird ausgelöst und dem Security Incident zugeordnet, wenn die Kategorie auf „Nicht autorisierter Server oder Service“ festgelegt ist.

      Abbildung : 2. T1003 – Dumping von Anmeldeinformationen – Auslösebedingung für Mimikatz DCSync-Playbook
      Auslösebedingung für T1003 – Dumping von Anmeldeinformationen – Mimikatz DCSync-Playbook.