Utiliser le playbook T1003 - Détecter les outils de vidage des informations d’identification

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur un incident impliquant des activités de vidage des informations d’identification. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le Playbook T1003 - Détecter les outils de vidage des informations d’identification.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez recueillir des informations sur le compte de l’utilisateur.
      • Vous devez vérifier l’activité de l’hôte pour rechercher toute activité suspecte.
      • Vous devez identifier le propriétaire du serveur/point de terminaison/machine virtuelle et capturer les données corrélées à l’outil.
      • Vous devez recueillir des informations sur les autres comptes de l’utilisateur.
    2. Dans l’action 2, vous devez vérifier s’il s’agit d’un cas possible de violation de la politique d’utilisation acceptable (PUA).
      Vous pouvez procéder à un examen par les pairs avec les preuves recueillies et consulter votre gestionnaire d’incidents régional pour savoir s’il faut contacter l’utilisateur.
    3. Dans l’action 3, s’il s’agit d’un cas de violation de la politique d’utilisation acceptable (PUA), effectuez les actions suivantes :
      1. Dans l’action 4, vous devez mettre à jour l’incident de sécurité pour indiquer qu’il s’agit d’un cas de violation de la PUA
      2. Dans l’action 5, le flux se termine.
    4. Dans l’action 6, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier s’il s’agit d’un cas possible de menace interne ou non.
      Figure 1. T1003 : Playbook Détecter les outils de vidage des informations d’identification
      Tâches de réponse pour déterminer s’il s’agit d’un cas possible de menace interne.
    5. Dans l’action 7, s’il s’agit d’un cas de menace interne, effectuez les actions suivantes :
      1. Dans l’action 8, vous devez contacter l’assistance informatique et demander un gel de compte.
      2. Dans l’action 9, vous devez bloquer les adresses IP malveillantes.
      3. Dans l’action 10, vous devez contacter les employés internes par e-mail.
        Vous pouvez utiliser le modèle d’e-mail fourni pour contacter vos employés internes.
      4. Dans l’action 11, vous devez lever le confinement et ramener les systèmes aux normes opérationnelles.
        Le flux se termine.
        Figure 2. Tâches d’intervention pour lever le confinement
        Tâches d’intervention pour lever le confinement et ramener les systèmes aux normes opérationnelles.
    6. Dans l’action 12, s’il ne s’agit pas d’une menace interne, dans l’action 13, vous devez effectuer un examen par les pairs pour déterminer si cela doit être ajouté à la liste d’exclusion.
      Le flux se termine.
    7. Dans l’action 14, une tâche de réponse est créée pour terminer la revue post-incident avant de fermer la tâche.