Use o playbook T1003 - Despejo de credenciais - Mimikatz DCsync

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Use este playbook para investigar incidentes suspeitos de serem causados pelo Mimikatz DCSync. As etapas a seguir fornecem instruções passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook T1003 - Despejo de credenciais - Mimikatz DCsync.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, verifique a atividade do host no Splunk e procure atividades suspeitas.
    2. Na Ação 2, identifique o proprietário do servidor/endpoint/VM.
      Se o usuário estiver on-line, execute o CrowdStrike EDR para obter um escopo melhor das atividades do sistema.
    3. Na Ação 3, colete informações sobre outras atividades de conta do usuário.
    4. Na Ação 4, com base na investigação, verifique se o servidor/endpoint/VM já foi usado para despejo de credenciais.
    5. Na Ação 5, se o servidor/endpoint/VM não tiver sido usado para despejo de credenciais, execute as seguintes ações:
      Figura 1. T1003 – Despejo de credenciais – Playbook do Mimikatz DCsync
      Tarefa de resposta para verificar se o servidor/endpoint/VM foi usado para despejo de credenciais.
      1. Na Ação 6, atualize a consulta de alerta, se necessário.
      2. Na Ação 7, atualize a lista de permissões, se necessário.
      3. Na Ação 8, documente as descobertas até o momento.
      4. Na Ação 9, inicie uma análise pós-incidente.
        Na Ação 10, o fluxo termina.
    6. Se o servidor/endpoint/VM tiver sido usado para despejo de credenciais, na Ação 11, entre em contato com o usuário.
      Figura 2. Usando o playbook T1003 - Despejo de credenciais - Mimikatz DCsync
      Tarefas de resposta quando o servidor/endpoint/VM foi usado para despejo de credenciais
    7. Na Ação 12, entre em contato com o usuário para validar a justificativa de negócio.
    8. Na Ação 13, se o usuário forneceu uma justificativa de negócio válida, execute as seguintes Ações:
      1. Na Ação 14, documente as descobertas até o momento.
      2. Na Ação 15, inicie uma análise pós-incidente.
        Na Ação 16, o fluxo termina.
    9. Se o usuário não forneceu uma justificativa de negócio válida, na Ação 17, coloque o sistema em quarentena.
    10. Na Ação 18, remova todos os arquivos indesejados que possam ter sido criados ou excluídos pelas contas não autorizadas.
    11. Na Ação 19, remova a contenção e traga os sistemas de volta aos padrões operacionais.
    12. Na Ação 20, conclua a revisão pós-incidente antes de fechar a tarefa.