T1003 - 資格情報ダンピングツールの検出 Playbook の使用

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • 次の手順では、「T1003 - 資格情報ダンピングツールの検出 (Detect Credential Dumping Tools)」プレイブックで利用可能なアクション、タスク、およびサブフローのウォークスルーを示します。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 でユーザーのアカウントに関する情報を収集する必要があります。
      • ホストのアクティビティをチェックして、疑わしいアクティビティを探す必要があります。
      • サーバー/エンドポイント/VM の所有者を特定し、ツールに関連するデータをキャプチャする必要があります。
      • ユーザーの他のアカウントに関する情報を収集する必要があります。
    2. ステップ 2 では、これが利用規定 (AUP) 違反の可能性があるかどうかを確認する必要があります。
      収集した証拠を使用してピアレビューを行い、そのユーザーに連絡するかどうかを地域のインシデントマネージャーに相談できます。
    3. ステップ 3 で、利用規定(AUP)違反の場合は、次の手順を実行します。
      1. ステップ 4 では、これが AUP 違反のケースであるセキュリティインシデントを更新する必要があります
      2. ステップ 5 では、フローは終了します。
    4. ステップ6では、これまでに行われた調査に基づいて、これがインサイダー脅威の可能性があるかどうかを確認する必要があります。
      図 : 1. T1003:資格情報ダンピングツールの検出プレイブック
      これが内部の脅威の可能性があるかどうかを調査するための応答タスク。
    5. 手順 7 で、これが内部の脅威の場合は、次の手順を実行します。
      1. ステップ 8 では、IT サポートに連絡してアカウントの凍結をリクエストする必要があります。
      2. ステップ9では、悪意のあるIPをブロックする必要があります。
      3. ステップ 10 では、社内の従業員にメールで連絡する必要があります。
        提供されたメールテンプレートを使用して、社内の従業員に連絡できます。
      4. ステップ 11 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
        フローが終了します。
        図 : 2. 封じ込めを解除するための対応タスク
        封じ込めを解除し、システムを運用標準に戻すための対応タスク。
    6. ステップ 12 で、これがインサイダーの脅威でない場合は、ステップ 13 でピア レビューを実行して、これを除外リストに追加する必要があるかどうかを判断する必要があります。
      フローが終了します。
    7. ステップ 14 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。