Utiliser le playbook T1003 - Évasion défensive - Mimikatz DCShadow

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents de sécurité soupçonnés d’être causés par Mimikatz DCShadow. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Évasion de défense - Mimikatz DCShadow.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, découvrez quel compte est responsable de la création du nouveau contrôleur de domaine (contrôleur de domaine).
    2. Dans l’action 2, contactez l’utilisateur pour valider la justification commerciale.
      Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur.
    3. Dans l’action 3, vérifiez si l’utilisateur a fourni une justification commerciale valide.
    4. Dans l’action 4, si l’utilisateur a fourni une justification commerciale valide, procédez comme suit :
      Figure 1. T1003 : évasion défensive - Manuel Mimikatz DCShadow
      Tâche de réponse pour vérifier si l’utilisateur a fourni une justification commerciale valide
      1. Dans l’action 5, documentez les résultats obtenus jusqu’à présent.
      2. Dans l’action 6, lancez une revue post-incident.
        Dans l’action 7, après la revue post-incident, le flux se termine.
    5. Dans l’action 8, si l’utilisateur n’a pas fourni de justification commerciale valide, procédez comme suit :
      Figure 2. Utilisation du playbook T1003 - Évasion défensive - Mimikatz DCShadow
      Tâches de réponse lorsque l’utilisateur n’a pas fourni de justification commerciale valide.
      1. Dans l’action 9, verrouillez ou mettez en quarantaine tous les comptes, ordinateurs et autres appareils concernés.
      2. Dans l’action 10, effectuez une enquête médico-légale sur les comptes verrouillés et identifiez si des données ont été exfiltrées ou si un code malveillant a été injecté.
      3. Dans l’action 11, recréez l’image des ressources affectées.
      4. Dans l’action 12, lever le confinement et ramener les systèmes aux normes opérationnelles.
      5. Dans l’action 13, terminez la revue post-incident avant de fermer la tâche.