Utiliser le playbook T1003 - Détecter les outils de vidage des informations d’identification

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Détecter les outils de vidage des informations d’identification.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, à l’étape 1, vous devez recueillir des informations sur le compte de l’utilisateur.
      • Vous devez vérifier l’activité de l’hôte pour rechercher toute activité suspecte.
      • Vous devez identifier le propriétaire du serveur/point de terminaison/ordinateur virtuel et capturer les données corrélées à l’outil.
      • Vous devez recueillir des informations sur les autres comptes de l’utilisateur.
    2. À l’étape 2, vous devez vérifier s’il s’agit d’un éventuel cas de violation de la politique d’utilisation acceptable (PUA).
      Vous pouvez effectuer un examen par les pairs avec les preuves recueillies et demander à votre gestionnaire d’incidents régional de contacter l’utilisateur.
    3. À l’étape 3, s’il s’agit d’un cas de violation de la politique d’utilisation acceptable (PUA), procédez comme suit :
      1. À l’étape 4, vous devez indiquer dans l’incident de sécurité qu’il s’agit d’un cas de violation de la PUA
      2. À l’étape 5, le flux se termine.
    4. À l’étape 6, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier s’il s’agit d’un cas possible de menace interne ou non.
      Figure 1. T1003 : playbook de détection des outils de vidage des informations d’identification
      Tâches de réponse pour déterminer s’il s’agit d’un cas possible de menace interne.
    5. À l’étape 7, s’il s’agit d’une menace interne, effectuez les étapes suivantes :
      1. À l’étape 8, vous devez contacter l’assistance informatique et demander le gel de votre compte.
      2. À l’étape 9, vous devez bloquer les adresses IP malveillantes.
      3. À l’étape 10, vous devez contacter les employés internes par e-mail.
        Vous pouvez utiliser le modèle d’e-mail fourni pour contacter vos employés internes.
      4. À l’étape 11, vous devez lever le confinement et ramener les systèmes aux normes opérationnelles.
        Le flux se termine.
        Figure 2. Tâches de réponse pour lever le confinement
        Tâches d’intervention pour lever le confinement et ramener les systèmes aux normes opérationnelles.
    6. À l’étape 12, s’il ne s’agit pas d’une menace interne, à l’étape 13, vous devez effectuer un examen par les pairs pour déterminer s’il doit être ajouté à la liste d’exclusion.
      Le flux se termine.
    7. À l’Étape 14, une tâche de réponse est créée pour terminer l’examen post-incident avant de fermer la tâche.