Verwenden Sie das Playbook T1003 – Umgehung der Verteidigung – Mimikatz DCShadow

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Security Incidents zu untersuchen, die mutmaßlich durch Mimikatz DCShadow verursacht wurden. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook T1003 – Verteidigungsumgehung – Mimikatz DCShadow verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, finden Sie in Aktion 1 heraus, welcher Account für die Erstellung des neuen DC (Domänencontroller) verantwortlich ist.
    2. Wenden Sie sich in Aktion 2 an den Anwender, um die geschäftliche Begründung zu validieren.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Benutzer zu kontaktieren.
    3. Überprüfen Sie in Aktion 3, ob der Anwender eine gültige geschäftliche Begründung angegeben hat.
    4. Wenn der Anwender in Aktion 4 eine stichhaltige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
      Abbildung : 1. T1003 – Umgehung der Verteidigung – Mimikatz DCShadow Playbook
      Antwortaufgabe, um zu überprüfen, ob der Anwender eine gültige geschäftliche Begründung angegeben hat
      1. Dokumentieren Sie in Aktion 5 die bisherigen Ergebnisse.
      2. Initiieren Sie in Aktion 6 eine Überprüfung nach Incident.
        In Aktion 7 wird nach der Überprüfung nach Incident der Flow beendet.
    5. Wenn der Anwender in Aktion 8 keine stichhaltige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
      Abbildung : 2. Mithilfe des Playbooks „T1003 – Umgehung der Abwehr – Mimikatz DCShadow“
      Antwortaufgaben, wenn der Anwender keine gültige geschäftliche Begründung angegeben hat.
      1. In Aktion 9 alle beteiligten Konten, Computer und anderen Geräte sperren oder unter Quarantäne stellen.
      2. Führen Sie in Aktion 10 eine forensische Untersuchung der gesperrten Accounts durch, und stellen Sie fest, ob Daten extrahiert oder schädlicher Code einschleusen wurden.
      3. Erstellen Sie in Aktion 11 ein erneutes Abbild der betroffenen Ressourcen.
      4. In Aktion 12: Containment aufheben und Systeme wieder auf Betriebsstandard zurücksetzen.
      5. Schließen Sie in Aktion 13 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.