Utiliser le playbook T1003 - Dumping des informations d’identification - Mimikatz DCsync

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents soupçonnés d’être causés par Mimikatz DCSync. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Vidage des informations d’identification - Mimikatz DCsync.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez l’activité de l’hôte sur Splunk et recherchez toute activité suspecte.
    2. Dans l’action 2, identifiez le propriétaire du serveur/point de terminaison/machine virtuelle.
      Si l’utilisateur est en ligne, exécutez CrowdStrike EDR pour recueillir une meilleure portée des activités du système.
    3. Dans l’action 3, recueillez des informations sur les autres activités du compte de l’utilisateur.
    4. Dans l’action 4, en fonction de l’enquête, vérifiez si le serveur/point de terminaison/machine virtuelle a déjà été utilisé pour le vidage des informations d’identification.
    5. Dans l’action 5, si le serveur/point de terminaison/machine virtuelle n’a pas été utilisé pour le vidage des informations d’identification, effectuez les actions suivantes :
      Figure 1. T1003 : vidage des informations d’identification : playbook Mimikatz DCsync
      Tâche de réponse pour vérifier si le serveur/point de terminaison/VM a été utilisé pour le vidage des informations d’identification.
      1. Dans l’action 6, mettez à jour la requête d’alerte si nécessaire.
      2. Dans l’action 7, mettez à jour la liste d’autorisation si nécessaire.
      3. Dans l’action 8, documentez les résultats obtenus jusqu’à présent.
      4. Dans l’action 9, lancez une revue post-incident.
        Dans l’action 10, le flux se termine.
    6. Si le serveur/point de terminaison/machine virtuelle a été utilisé pour le vidage des informations d’identification, contactez l’utilisateur dans l’action 11.
      Figure 2. Utilisation du playbook T1003 - Dumping des informations d’identification - Mimikatz DCsync
      Tâches de réponse lorsque le serveur/point de terminaison/ordinateur virtuel a été utilisé pour le vidage des informations d’identification
    7. Dans l’action 12, contactez l’utilisateur pour valider la justification commerciale.
    8. Dans l’action 13, si l’utilisateur a fourni une justification commerciale valide, effectuez les actions suivantes :
      1. Dans l’action 14, documentez les résultats obtenus jusqu’à présent.
      2. Dans l’action 15, lancez une révision post-incident.
        Dans l’action 16, le flux se termine.
    9. Si l’utilisateur n’a pas fourni de justification commerciale valide, mettez le système en quarantaine dans l’Action 17.
    10. Dans Action 18, supprimez tous les fichiers indésirables qui ont pu être créés ou supprimés par les comptes malveillants.
    11. Dans l’action 19, lever le confinement et ramener les systèmes aux normes opérationnelles.
    12. Dans l’action 20, terminez la revue post-incident avant de fermer la tâche.