Use o playbook T1003 - Despejo de credencial - Mimakatz DCsync

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Use este playbook para investigar incidentes suspeitos de serem causados pelo Mimkatz DCSync. As etapas a seguir fornecem instruções sobre as ações, tarefas e subfluxos que estão disponíveis no playbook T1003 - Despejo de credencial - Mimkatz DCsync.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, verifique a atividade do host no Splunk e procure atividades suspeitas.
    2. Na Ação 2, identifique o proprietário do servidor/endpoint/VM.
      Se o usuário estiver online, execute o CrowdStrike EDR para coletar um escopo melhor das atividades do sistema.
    3. Na Ação 3, reúna informações sobre outras atividades da conta do usuário.
    4. Na Ação 4, com base na investigação, verifique se o servidor/endpoint/VM já foi usado para despejo de credencial.
    5. Na Ação 5, se o servidor/endpoint/VM não tiver sido usado para despejo de credencial, execute as seguintes ações:
      Figura 1. T1003 - Despejo de credencial - Playbook do Mimakatz DCsync
      Tarefa de resposta para verificar se o servidor/endpoint/VM foi usado para despejo de credencial.
      1. Na Ação 6, atualize a consulta de alerta, se necessário.
      2. Na Ação 7, atualize a lista de permissões, se necessário.
      3. Na Ação 8, documente as descobertas até o momento.
      4. Na Ação 9, inicie uma revisão pós-incidente.
        Na Ação 10, o fluxo termina.
    6. Se o servidor/endpoint/VM foi usado para despejo de credencial, na Ação 11, entre em contato com o usuário.
      Figura 2. Usando o playbook T1003 - Despejo de credencial - Mimakatz DCsync
      Tarefas de resposta quando o servidor/endpoint/VM foi usado para despejo de credencial
    7. Na Ação 12, entre em contato com o usuário para validar a justificativa de negócios.
    8. Na Ação 13, se o usuário forneceu uma justificativa comercial válida, execute as seguintes ações:
      1. Na Ação 14, documente as descobertas até o momento.
      2. Na Ação 15, inicie uma revisão pós-incidente.
        Na Ação 16, o fluxo termina.
    9. Se o usuário não forneceu uma justificativa comercial válida, na Ação 17, coloque o sistema em quarentena.
    10. Na Ação 18, remova todos os arquivos indesejados que possam ter sido criados ou excluídos pelas contas invasoras.
    11. Na Ação 19, suspenda a contenção e traga os sistemas de volta aos padrões operacionais.
    12. Na Ação 20, conclua a revisão pós-incidente antes de fechar a tarefa.