Configurer le playbook T1003 - Outils de dumping de détection des informations d’identification

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Suivez les étapes ci-dessous pour configurer le playbook T1003 - Outils de détection de dumping d’informations d’identification.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Connectez-vous en tant qu’utilisateur disposant des rôles sn_si.user et flow_designer.
    2. Accédez à la Tous > Concepteur de flux et sélectionnez le playbook T1003 - Detect Credential Dumping Tools (Outils de détection des dumping d’informations d’identification ).
    3. Facultatif : Vous pouvez créer une copie du flux de playbook T1003 - Outils de détection des dumping d’informations d’identification et apporter les modifications nécessaires.
      Pour créer une copie du flux du playbook, cliquez sur l’icône du menu Plus d’actions et sélectionnez Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.
      Figure 1. T1003 - Playbook d’outils de dumping de détection des informations d’identification
      Vue d’ensemble du playbook T1003 - Détecter les outils de dumping d’informations d’identification
    4. Activez les playbooks.
      • Activez le flux principal pour utiliser le playbook disponible dans le système de base.
      • Activez les flux copiés après avoir apporté les changements requis.
    5. Définissez une condition de déclenchement pour le playbook.

      Ce playbook est déclenché et associé à l’incident de sécurité lorsque la catégorie est Activité de code malveillant.

      Condition de déclenchement pour T1003 - Playbook d’outils de détection de dumping d’informations d’identification.