Verwenden Sie das DCShadow-Playbook „T1003 – Abwehrflucht – Mimikatz“

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Verwenden Sie dieses Playbook, um Security Incidents zu untersuchen, bei denen vermutet wird, dass sie durch Mimikatz DCShadow verursacht werden. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die im Playbook „T1003 – Abwehrflucht – Mimikatz“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • Flow_Designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, finden Sie in Aktion 1 heraus, welcher Account für die Erstellung des neuen DC (Domänencontrollers) verantwortlich ist.
    2. Wenden Sie sich in Aktion 2 an den Anwender, um die geschäftliche Begründung zu validieren.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Anwender zu kontaktieren.
    3. Überprüfen Sie in Aktion 3, ob der Anwender eine gültige geschäftliche Begründung angegeben hat.
    4. Führen Sie in Aktion 4 die folgenden Schritte aus, wenn der Anwender eine gültige geschäftliche Begründung angegeben hat:
      Abbildung : 1. T1003 – Evasion zur Verteidigung – Playbook „Mimikatz-DCShadow“
      Antwortaufgabe, um zu überprüfen, ob der Anwender eine gültige geschäftliche Begründung angegeben hat
      1. Dokumentieren Sie in Aktion 5 die bisherigen Ergebnisse.
      2. Initiieren Sie in Aktion 6 eine Überprüfung nach Incident.
        In Aktion 7 endet der Flow nach der Überprüfung des Incidents.
    5. Führen Sie in Aktion 8 die folgenden Schritte aus, wenn der Anwender keine gültige geschäftliche Begründung angegeben hat:
      Abbildung : 2. Mit dem DCShadow-Playbook „T1003 – Abwehrflucht – Mimikatz“
      Antwortaufgaben, wenn der Anwender keine gültige geschäftliche Begründung angegeben hat.
      1. Sperren oder Quarantäne Sie in Aktion 9 alle betroffenen Accounts, Computer und anderen beteiligten Geräte.
      2. Führen Sie in Aktion 10 eine forensische Untersuchung der gesperrten Accounts durch, und identifizieren Sie, ob Daten exfiltriert wurden oder böswilliger Code injiziert wurde.
      3. Erstellen Sie in Aktion 11 ein neues Image für die betroffenen Ressourcen.
      4. Heben Sie in Aktion 12 die Eindämmung auf, und bringen Sie Systeme wieder auf Betriebsstandards zurück.
      5. Schließen Sie in Aktion 13 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.