Configurar o playbook T1003 - Despejo de credenciais - Mimikatz DCsync

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Use as etapas a seguir para configurar o playbook T1003 - Despejo de credenciais - Mimikatz DCsync.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Verifique se você instalou o Spoke das Operações de segurança (sn_sec_spoke).

    Procedimento

    1. Faça login como um usuário com as funções sn_si.user e flow_designer.
    2. Navegar até Tudo > Flow Designer e selecione o playbook T1003 - Dumping de credenciais - Mimikatz DCsync.
    3. Opcional: Crie uma cópia do fluxo do playbook T1003 - Despejo de credenciais - Mimikatz DCsync e faça as modificações necessárias.

      Para criar uma cópia do fluxo do playbook, selecione o ícone de menu Mais ações e selecione Copiar fluxo. Execute esta etapa somente se você planeja personalizar ou fazer mudanças específicas no fluxo.

      Figura 1. T1003 – Despejo de credenciais – Playbook do Mimikatz DCSync
      Visão geral do playbook T1003 - Despejo de credenciais - Mimikatz DCSync.
    4. Ative os playbooks.
      1. Ative o fluxo principal para usar o playbook disponível no sistema de base.
      2. Ative os fluxos copiados depois de fazer as mudanças necessárias.
    5. Defina uma Condição do gatilho para o playbook.

      Este playbook é acionado e associado ao incidente de segurança quando a Categoria é Servidor ou serviço não autorizado.

      Figura 2. T1003 – Despejo de credenciais – Condição do gatilho do playbook do Mimikatz DCSync
      Condição de gatilho para T1003 - Despejo de credenciais - Playbook do Mimikatz DCSync.