Verwenden Sie das Playbook „T1003 – Tools zum Erkennen von Dumping-Anmeldeinformationen“.

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um einen Incident zu untersuchen, der Aktivitäten zum Dumping von Anmeldeinformationen beinhaltet. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook T1003 – Tools für Anmeldeinformations-Dumping erkennen verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Security Operations Spoke (sn_sec_spoke) installiert ist.

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, müssen Sie in Aktion 1 Informationen zum Account des Anwenders sammeln.
      • Sie müssen die Hostaktivität überprüfen, um nach verdächtigen Aktivitäten zu suchen.
      • Sie müssen den Besitzer des Servers/Endpunkts/der VM identifizieren und die Daten erfassen, die sich auf das Tool beziehen.
      • Sie müssen Informationen zu den anderen Accounts des Benutzers sammeln.
    2. In Aktion 2 müssen Sie überprüfen, ob dies ein möglicher Verstoßfall für die Richtlinie zur zulässigen Nutzung (Acceptable Use Policy, AUP) ist.
      Sie können eine Peer-Überprüfung der gesammelten Nachweise durchführen und sich mit Ihrem regionalen Incident Manager beraten, ob Sie den Benutzer kontaktieren sollen.
    3. Wenn es sich in Aktion 3 um einen Verstoß gegen die Richtlinie zur zulässigen Nutzung handelt, führen Sie die folgenden Aktionen aus:
      1. In Aktion 4 müssen Sie den Security Incident dahingehend aktualisieren, dass es sich um einen Fall einer AUP-Verletzung handelt
      2. In Aktion 5 endet der Flow.
    4. In Aktion 6 müssen Sie basierend auf den bisher durchgeführten Untersuchungen überprüfen, ob dies ein möglicher Fall einer internen Bedrohung ist oder nicht.
      Abbildung : 1. T1003: Playbook mit Tools zum Dumping von Anmeldeinformationen erkennen
      Antwortaufgaben, um zu untersuchen, ob dies ein möglicher Fall einer internen Bedrohung ist.
    5. Führen Sie in Aktion 7 die folgenden Aktionen aus, wenn es sich um eine interne Bedrohung handelt:
      1. In Aktion 8 müssen Sie sich an den IT-Support wenden und eine Kontosperre anfordern.
      2. In Aktion 9 müssen Sie schädliche IPs blockieren.
      3. In Aktion 10 müssen Sie interne Mitarbeiter per E-Mail kontaktieren.
        Sie können die bereitgestellte E-Mail-Vorlage verwenden, um Ihre internen Mitarbeiter zu kontaktieren.
      4. In Aktion 11 müssen Sie die Eindämmung aufheben und die Systeme wieder auf Betriebsstandard zurücksetzen.
        Der Flow endet.
        Abbildung : 2. Antwortaufgaben zum Aufheben des Containments
        Reaktionsaufgaben, um die Eindämmung aufzuheben und die Systeme wieder auf Betriebsstandards zu bringen.
    6. Wenn es sich in Aktion 12 nicht um einen Fall einer internen Bedrohung handelt, müssen Sie in Aktion 13 eine Peer-Überprüfung durchführen, um festzustellen, ob dies der Ausschlussliste hinzugefügt werden muss.
      Der Flow endet.
    7. In Aktion 14 wird eine Antwortaufgabe erstellt, um die Überprüfung nach dem Incident abzuschließen, bevor die Aufgabe geschlossen wird.