Use o playbook T1003 - Detectar ferramentas de despejo de credenciais

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use este playbook para investigar um incidente que envolve atividades de despejo de credenciais. As etapas a seguir fornecem instruções passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook T1003 - Detectar despejo de credenciais.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Verifique se você instalou o Spoke das Operações de segurança (sn_sec_spoke).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, você precisa coletar informações sobre a conta do usuário.
      • Você precisa verificar a atividade do host para procurar atividades suspeitas.
      • Você precisa identificar o proprietário do servidor/endpoint/VM e capturar os dados correlacionados à ferramenta.
      • Você precisa coletar informações sobre as outras contas do usuário.
    2. Na Ação 2, você precisa verificar se este é um possível caso de violação da Política de uso aceitável (AUP).
      Você pode fazer uma revisão por pares com as evidências coletadas e consultar o gerente de incidentes regional para entrar em contato com o usuário.
    3. Na Ação 3, se este for um caso de violação da Política de Uso Aceitável (AUP), execute as seguintes ações:
      1. Na Ação 4, você precisa atualizar o incidente de segurança de que este é um caso de violação de AUP
      2. Na Ação 5, o fluxo termina.
    4. Na Ação 6, com base na investigação feita até o momento, você precisa verificar se este é um possível caso de ameaça interna ou não.
      Figura 1. T1003 - Detectar playbook de ferramentas de despejo de credenciais
      Tarefas de resposta para investigar se este é um possível caso de ameaça interna.
    5. Na Ação 7, se este for um caso de ameaça interna, execute as seguintes ações:
      1. Na Ação 8, você precisa entrar em contato com o suporte de TI e solicitar um congelamento de conta.
      2. Na Ação 9, você precisa bloquear IPs mal-intencionados.
      3. Na Ação 10, você precisa entrar em contato com os funcionários internos por e-mail.
        Você pode usar o modelo de e-mail fornecido para entrar em contato com seus funcionários internos.
      4. Na Ação 11, você precisa suspender a contenção e trazer os sistemas de volta aos padrões operacionais.
        O fluxo termina.
        Figura 2. Tarefas de resposta para suspender a contenção
        Tarefas de resposta para suspender a contenção e trazer os sistemas de volta aos padrões operacionais.
    6. Na Ação 12, se este não for um caso de ameaça interna, na Ação 13, você precisará executar uma revisão por pares para determinar se isso precisa ser adicionado à lista de exclusões.
      O fluxo termina.
    7. Na Ação 14, uma tarefa de resposta é criada para concluir a revisão pós-incidente antes de fechar a tarefa.