Utiliser le playbook T1003 - Dumping d’informations d’identification - Mimikatz DCsync

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents soupçonnés d’être causés par Mimikatz DCSync. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Credential Dumping - Mimikatz DCsync.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez l’activité de l’hôte sur Splunk et recherchez toute activité suspecte.
    2. Dans l’action 2, identifiez le propriétaire du serveur/point de terminaison/VM.
      Si l’utilisateur est en ligne, exécutez l’EDR CrowdStrike pour obtenir une meilleure portée des activités du système.
    3. Dans l’action 3, rassemblez des informations sur les autres activités du compte de l’utilisateur.
    4. Dans l’action 4, sur la base de l’enquête, vérifiez si le serveur/point de terminaison/ordinateur virtuel a déjà été utilisé pour le dumping d’informations d’identification.
    5. Dans l’action 5, si le serveur/point de terminaison/VM n’a pas été utilisé pour le dumping des informations d’identification, effectuez les actions suivantes :
      Figure 1. T1003 - Dumping d’informations d’identification - Playbook Mimikatz DCsync
      Tâche de réponse pour vérifier si le serveur/point de terminaison/VM a été utilisé pour le dumping des informations d’identification.
      1. Dans l’action 6, mettez à jour la requête d’alerte si nécessaire.
      2. Dans l’action 7, mettez à jour la liste d’autorisation si nécessaire.
      3. Dans l’action 8, documentez les résultats obtenus jusqu’à présent.
      4. Dans l’action 9, lancez une revue post-incident.
        Dans l’action 10, le flux s’arrête.
    6. Si le serveur/point de terminaison/VM a été utilisé pour le dumping des informations d’identification, lors de l’action 11, contactez l’utilisateur.
      Figure 2. Utilisation du playbook T1003 - Credential Dumping - Mimikatz DCsync
      Tâches de réponse lorsque le serveur/point de terminaison/ordinateur virtuel a été utilisé pour le dumping des informations d’identification
    7. Dans l’action 12, contactez l’utilisateur pour valider la justification commerciale.
    8. Dans l’action 13, si l’utilisateur a fourni une justification commerciale valide, effectuez les actions suivantes :
      1. Dans l’action 14, documentez les résultats obtenus jusqu’à présent.
      2. Dans l’action 15, lancez une revue post-incident.
        Dans l’action 16, le flux s’arrête.
    9. Si l’utilisateur n’a pas fourni de justification commerciale valide, lors de l’action 17, mettez le système en quarantaine.
    10. Dans Action 18, supprimez tous les fichiers indésirables qui ont pu être créés ou supprimés par les comptes malveillants.
    11. Dans l’action 19, lever le confinement et ramener les systèmes aux normes opérationnelles.
    12. Dans l’action 20, effectuez la revue post-incident avant de fermer la tâche.