Verwenden Sie das Playbook T1003 – Tools zum Entwerfen von Anmeldeinformationen erkennen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um einen Incident mit Aktivitäten zum Dumping von Anmeldeinformationen zu untersuchen. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die im Playbook T1003 – Tools für Anmeldeinformationsdumping erkennen verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie die Security Operations-Spoke ( sn_sec_Spoke ).

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, müssen Sie in Aktion 1 Informationen zum Account des Anwenders sammeln.
      • Sie müssen die Hostaktivität überprüfen, um nach verdächtigen Aktivitäten zu suchen.
      • Sie müssen den Besitzer des Servers/Endpunkts/der VM identifizieren und die mit dem Tool korrelierenden Daten erfassen.
      • Sie müssen Informationen zu den anderen Accounts des Anwenders sammeln.
    2. In Aktion 2 müssen Sie überprüfen, ob es sich um einen möglichen Verstoßfall (Acceptable Use Policy, AUP) handelt.
      Sie können eine Peer-Review mit den gesammelten Nachweisen durchführen und sich an Ihren regionalen Incident-Manager wenden, ob Sie sich an den Anwender wenden möchten.
    3. Wenn es sich in Aktion 3 um einen Verstoß gegen die Richtlinie zur zulässigen Verwendung (Acceptable Use Policy, AUP) handelt, führen Sie die folgenden Aktionen aus:
      1. In Aktion 4 müssen Sie den Security Incident aktualisieren, dass es sich um einen AUP-Verstoß handelt
      2. In Aktion 5 endet der Flow.
    4. In Aktion 6 müssen Sie basierend auf der bisher durchgeführten Untersuchung überprüfen, ob es sich um einen möglichen Fall einer internen Bedrohung handelt oder nicht.
      Abbildung : 1. T1003 – Playbook für Tools zum Entwerfen von Anmeldeinformationen erkennen
      Antwortaufgaben, um zu untersuchen, ob dies ein möglicher Fall einer internen Bedrohung ist.
    5. Führen Sie in Aktion 7 die folgenden Aktionen aus, wenn es sich um einen Fall einer internen Bedrohung handelt:
      1. In Aktion 8 müssen Sie sich an den IT-Support wenden und eine Kontosperrung anfordern.
      2. In Aktion 9 müssen Sie schädliche IPs blockieren.
      3. In Aktion 10 müssen Sie interne Mitarbeiter per E-Mail kontaktieren.
        Sie können die bereitgestellte E-Mail-Vorlage verwenden, um Ihre internen Mitarbeiter zu kontaktieren.
      4. In Aktion 11 müssen Sie die Eindämmung aufheben und die Systeme wieder auf Betriebsstandards zurücksetzen.
        Der Flow endet.
        Abbildung : 2. Antwortaufgaben zum Aufheben der Eindämmung
        Antwortaufgaben, um die Eindämmung aufzuheben und Systeme wieder auf Betriebsstandards zu bringen.
    6. Wenn es sich in Aktion 12 nicht um eine interne Bedrohung handelt, müssen Sie in Aktion 13 eine Peer-Review durchführen, um festzustellen, ob dies der Ausschlussliste hinzugefügt werden muss.
      Der Flow endet.
    7. In Aktion 14 wird eine Antwortaufgabe erstellt, um die Überprüfung nach dem Incident abzuschließen, bevor die Aufgabe geschlossen wird.