Utiliser le playbook T1003 - Outils de détection de dumping d’informations d’identification

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Utilisez ce manuel pour enquêter sur un incident impliquant des activités de dumping d’informations d’identification. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Détecter les outils de dumping d’informations d’identification.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé Security Operations Spoke (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez collecter des informations sur le compte de l’utilisateur.
      • Vous devez vérifier l’activité de l’hôte pour détecter toute activité suspecte.
      • Vous devez identifier le propriétaire du serveur/point de terminaison/VM et capturer les données corrélées à l’outil.
      • Vous devez recueillir des informations sur les autres comptes de l’utilisateur.
    2. Dans l’action 2, vous devez vérifier s’il s’agit d’un cas possible de violation de la politique d’utilisation acceptable (AUP).
      Vous pouvez effectuer un examen par les pairs avec les preuves recueillies et consulter votre gestionnaire d’incidents régional pour savoir si vous souhaitez contacter l’utilisateur.
    3. Dans l’action 3, s’il s’agit d’un cas de violation de la politique d’utilisation acceptable (AUP), effectuez les actions suivantes :
      1. Dans l’action 4, vous devez informer l’incident de sécurité qu’il s’agit d’un cas de violation d’AUP
      2. Dans l’action 5, le flux s’arrête.
    4. Dans l’action 6, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier s’il s’agit d’un cas possible de menace interne ou non.
      Figure 1. T1003 - Playbook des outils de détection des informations d’identification
      Tâches de réponse pour déterminer s’il s’agit d’un cas possible de menace interne.
    5. Dans l’action 7, s’il s’agit d’un cas de menace interne, effectuez les actions suivantes :
      1. Dans l’action 8, vous devez contacter le support informatique et demander un gel de compte.
      2. Dans l’action 9, vous devez bloquer les IP malveillantes.
      3. Dans l’action 10, vous devez contacter les employés internes par e-mail.
        Vous pouvez utiliser le modèle d’e-mail fourni pour contacter vos employés internes.
      4. Dans l’action 11, vous devez lever le confinement et ramener les systèmes aux normes opérationnelles.
        Le flux s’arrête.
        Figure 2. Tâches de réponse pour lever le confinement
        Tâches d’intervention pour lever le confinement et ramener les systèmes aux normes opérationnelles.
    6. Dans l’action 12, s’il ne s’agit pas d’un cas de menace interne, dans l’action 13, vous devez effectuer un examen par les pairs pour déterminer si cela doit être ajouté à la liste d’exclusion.
      Le flux s’arrête.
    7. Dans l’action 14, une tâche de réponse est créée pour terminer la revue post-incident avant de fermer la tâche.