この Playbook では、Mimikatz DCSync が原因と疑われるインシデントを調査するための体系的な修復手順について説明します。この Playbook は、Mimikatz 関数 (lsadump::d csync) のいずれかが使用されたときにトリガーされます。この関数は通常、攻撃されたドメイン コントローラー (DC) で使用されます。

Mimikatzは、ユーザーが攻撃されたシステムから機密データを取得するのに役立つコマンドを発行できるようにする人気のあるハッキングツールです。機密データには、パスワード、そのハッシュなどが含まれます。

T1003 の概要 - 資格情報のダンピング - Mimikatz DCSync プレイブック

1. sn_si.user および flow_designer ロールを持つユーザーとしてログインします。
2. 移動先 すべて > Flow Designer をクリックし、[ T1003 - 資格情報ダンピング - Mimikatz DCSync Playbook] を選択します。
3. (オプション)「T1003 - 資格情報ダンピング - Mimikatz DCSync Playbook 」フローのコピーを作成し、必要な変更を加えることができます。Playbook のフローのコピーを作成するには、[ アイコンをクリックし、[ フローのコピー] を選択します。このステップは、フローをカスタマイズまたは変更する場合にのみ実行します。

   

4. Playbook をアクティブ化します。
   • ベースシステムで利用可能な Playbook を使用するには、メインフローをアクティブ化します。
   • 必要な変更を行った後、コピーしたフローをアクティブ化します。

トリガー条件:この Playbook は、 カテゴリ が 不正サーバーまたはサービスである場合にトリガーされ、セキュリティインシデントに関連付けられます。