T1003 - 認証情報ダンピング - Mimikatz DCsync プレイブックを使用する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • このプレイブックを使用して、Mimikatz DCSync が原因と疑われるインシデントを調査します。以下に示すステップは、T1003 - 認証情報ダンピング - Mimikatz DCsync プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 で Splunk のホストアクティビティを確認し、疑わしいアクティビティを探します。
    2. アクション 2 では、サーバー/エンドポイント/VM の所有者を特定します。
      ユーザーがオンラインの場合は、CrowdStrike EDR を実行して、さらに広い範囲のシステムのアクティビティを収集します。
    3. アクション 3 では、ユーザーの他のアカウントアクティビティに関する情報を収集します。
    4. アクション 4 では、調査に基づいて、サーバー/エンドポイント/VM が認証情報ダンピングに使用されたことがあるかどうかを確認します。
    5. アクション 5 では、サーバー/エンドポイント/VM が認証情報ダンピングに使用ていなかった場合に、次のアクションを実行します。
      図 : 1. T1003 - 認証情報ダンピング - Mimikatz DCsync プレイブック
      サーバー/エンドポイント/VM が認証情報ダンピングに使用されたかどうかを確認するための応答タスク。
      1. アクション 6 では、必要に応じてアラートクエリを更新します。
      2. アクション 7 では、必要に応じて許可リストを更新します。
      3. アクション 8 では、これまでの結果を文書化します。
      4. アクション 9 では、インシデントの事後レビューを開始します。
        アクション 10 で、フローは終了します。
    6. サーバー/エンドポイント/VM が認証情報ダンピングに使用されていた場合は、アクション 11 でユーザーに連絡します。
      図 : 2. T1003 - 認証情報ダンピング - Mimikatz DCsync プレイブックの使用
      サーバー/エンドポイント/VM が認証情報ダンピングに使用された場合の応答タスク
    7. アクション 12 では、ビジネス上の根拠を検証するためにユーザーに連絡します。
    8. アクション 13 では、ユーザーが有効なビジネス上の根拠を提供した場合に、次のアクションを実行します。
      1. アクション 14 では、これまでの結果を文書化します。
      2. アクション 15 では、インシデントの事後レビューを開始します。
        アクション 16 で、フローは終了します。
    9. ユーザーが有効なビジネス上の根拠を提供しなかった場合には、アクション 17 でシステムを検疫します。
    10. アクション 18 では、不正なアカウントによって作成または削除された可能性のある不要なファイルを削除します。
    11. アクション 19 では、封じ込めを解除し、システムを運用標準に戻します。
    12. アクション 20 では、タスクをクローズする前にインシデントの事後レビューを完了します。