T1003 を使用する - 資格情報のダンピング - Mimikatz DCsync プレイブック

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • 次の手順では、T1003 - 資格情報ダンピング - Mimikatz DCsync Playbook で使用できるアクション、タスク、およびサブフローのチュートリアルを示します。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 で Splunk のホストアクティビティを確認し、疑わしいアクティビティを探す必要があります。
    2. 手順 2 では、サーバー/エンドポイント/VM の所有者を特定する必要があります。
      ユーザーがオンラインの場合は、CrowdStrike EDR を実行して、システムのアクティビティのより広い範囲を収集します。
    3. 手順 3 では、ユーザーの他のアカウント アクティビティに関する情報を収集する必要があります。
    4. 手順 4 では、調査に基づいて、サーバー/エンドポイント/VM が資格情報のダンプに使用されたことがあるかどうかを確認します。
    5. ステップ 5 で、サーバー/エンドポイント/VM が資格情報のダンプに使用されなかった場合は、次の手順を実行します。
      図 : 1. T1003 - 資格情報のダンピング - Mimikatz DCsync プレイブック
      サーバー/エンドポイント/VM が資格情報のダンピングに使用されたかどうかを確認する応答タスク。
      1. ステップ 6 では、必要に応じてアラートクエリを更新できます。
      2. ステップ 7 では、必要に応じて許可リストを更新できます。
      3. ステップ 8 で、これまでの結果を文書化するための応答タスクを作成します。
      4. ステップ 9 では、インシデントの事後レビューを開始するための応答を作成する必要があります。
        ステップ 10 で、フローは終了します。
    6. サーバー/エンドポイント/VM が資格情報のダンプに使用されていた場合は、手順 11 でユーザーに連絡する必要があります。
      図 : 2. T1003 の使用 - 資格情報のダンピング - Mimikatz DCsync プレイブック
      サーバー/エンドポイント/VM が資格情報のダンピングに使用されたときの応答タスク
    7. ステップ 12 では、ビジネス上の根拠を検証するためにユーザーに連絡する必要があります。
    8. 手順 13 で、ユーザーが有効なビジネス上の正当な理由を提供した場合は、次の手順を実行します。
      1. ステップ 14 で、これまでの結果を文書化するための応答タスクを作成します。
      2. ステップ 15 で、インシデントの事後レビューを開始するための応答を作成します。
        ステップ 16 で、フローは終了します。
    9. ユーザーが有効な業務上の正当な理由を提供しなかった場合は、手順 17 でシステムを検疫する必要があります。
    10. ステップ18では、不正なアカウントによって作成または削除された可能性のある不要なファイルを削除する必要があります。
    11. ステップ 19 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
    12. ステップ 20 で、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。