Verwenden Sie das Playbook T1003 – Dumping von Anmeldeinformationen – Mimikatz DCsync

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, von denen vermutet wird, dass sie durch Mimikatz DCSync verursacht wurden. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook T1003 – Dumping von Anmeldeinformationen – Mimikatz DCsync verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, überprüfen Sie in Aktion 1 die Hostaktivität in Splunk, und suchen Sie nach verdächtigen Aktivitäten.
    2. Identifizieren Sie in Aktion 2 den Besitzer des Servers/Endpunkts/der VM.
      Wenn der Anwender online ist, führen Sie den CrowdStrike EDR aus, um einen besseren Umfang der Systemaktivitäten zu erfassen.
    3. Erfassen Sie in Aktion 3 Informationen zu den anderen Kontoaktivitäten des Benutzers.
    4. Überprüfen Sie in Aktion 4 basierend auf der Untersuchung, ob der Server/Endpunkt/die VM jemals für das Dumping von Anmeldeinformationen verwendet wurde.
    5. Wenn in Aktion 5 der Server/Endpunkt/die VM nicht für die Speicherung von Anmeldeinformationen verwendet wurde, führen Sie die folgenden Aktionen aus:
      Abbildung : 1. T1003: Dumping von Anmeldeinformationen – Mimikatz DCsync-Playbook
      Antwortaufgabe, um zu überprüfen, ob der Server/Endpunkt/die VM für das Dumping von Anmeldeinformationen verwendet wurde.
      1. Aktualisieren Sie in Aktion 6 die Warnungsabfrage, falls erforderlich.
      2. Aktualisieren Sie in Aktion 7 ggf. die Allow-Liste.
      3. Dokumentieren Sie in Aktion 8 die bisherigen Ergebnisse.
      4. Initiieren Sie in Aktion 9 eine Überprüfung nach Incident.
        In Aktion 10 endet der Flow.
    6. Wenn der Server/Endpunkt/die VM für das Dumping von Anmeldeinformationen verwendet wurde, wenden Sie sich in Aktion 11 an den Benutzer.
      Abbildung : 2. Mit dem Playbook „T1003 – Dumping von Anmeldeinformationen – Mimikatz DCsync“
      Antwortaufgaben, wenn der Server/Endpunkt/die VM für das Dumping von Anmeldeinformationen verwendet wurde
    7. Wenden Sie sich in Aktion 12 an den Anwender, um die geschäftliche Begründung zu validieren.
    8. Wenn der Anwender in Aktion 13 eine stichhaltige geschäftliche Begründung angegeben hat, führen Sie die folgenden Aktionen aus:
      1. Dokumentieren Sie in Aktion 14 die bisherigen Ergebnisse.
      2. Initiieren Sie in Aktion 15 eine Überprüfung nach Incident.
        In Aktion 16 endet der Flow.
    9. Wenn der Benutzer keine gültige geschäftliche Begründung angegeben hat, stellen Sie das System in Aktion 17 unter Quarantäne.
    10. Entfernen Sie in Aktion 18 alle unerwünschten Dateien, die möglicherweise von den betrügerischen Konten erstellt oder gelöscht wurden.
    11. In Aktion 19: Containment aufheben und Systeme wieder auf Betriebsstandard zurücksetzen.
    12. Schließen Sie in Aktion 20 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.