Utiliser le playbook T1003 - Defense Evasion - Mimikatz DCShadow

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

1 minute de lecture

Utilisez ce manuel pour enquêter sur les incidents de sécurité soupçonnés d’être causés par Mimikatz DCShadow. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Defense Evasion - Mimikatz DCShadow.

Avant de commencer

Rôle requis :

sn_si.admin
flow_designer

Procédure

Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, découvrez quel compte est responsable de la création du nouveau DC (contrôleur de domaine).
Dans l’action 2, contactez l’utilisateur pour valider la justification commerciale.
Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur.
Dans l’action 3, vérifiez si l’utilisateur a fourni une justification commerciale valide.
Dans l’action 4, si l’utilisateur a fourni une justification commerciale valide, procédez comme suit :

Figure 1. T1003 - Évasion de défense - Mimikatz DCShadow Playbook
1. Dans l’action 5, documentez les résultats obtenus jusqu’à présent.
2. Dans l’action 6, lancez une revue post-incident.
  Dans l’action 7, après la revue post-incident, le flux s’arrête.
Dans l’action 8, si l’utilisateur n’a pas fourni de justification commerciale valide, procédez comme suit :

Figure 2. Utilisation du playbook T1003 - Defense Evasion - Mimikatz DCShadow
1. Dans Action 9, verrouillez ou mettez en quarantaine tous les comptes, ordinateurs et autres appareils impliqués.
2. Dans l’action 10, effectuez une enquête médico-légale sur les comptes verrouillés et identifiez si des données ont été exfiltrées ou si un code malveillant a été injecté.
3. Dans l’action 11, réimagez les ressources affectées.
4. Dans l’action 12, lever le confinement et ramener les systèmes aux normes opérationnelles.
5. Dans l’action 13, effectuez l’examen post-incident avant de fermer la tâche.