이 플레이북을 사용하여 자격 증명 덤핑 활동과 관련된 인시던트를 조사합니다. 다음 단계에서는 T1003 - 자격 증명 덤핑 도구 탐지 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.
시작하기 전에
필요한 역할:
- sn_si.admin
- flow_designer
스포크(sn_sec_spoke)를 설치 보안 운영 했는지 확인하십시오.
프로시저
-
플레이북이 트리거되고 실행을 시작하면 작업 1에서 사용자 계정에 대한 정보를 수집해야 합니다.
- 호스트 활동을 확인하여 의심스러운 활동을 찾아야 합니다.
- 서버/엔드포인트/VM의 소유자를 식별하고 도구와 관련된 데이터를 캡처해야 합니다.
- 사용자의 다른 계정에 대한 정보를 수집해야 합니다.
-
작업 2에서는 이것이 가능한 AUP(사용 제한 정책) 위반 케이스인지 확인해야 합니다.
수집된 증거에 대해 동료 검토를 수행하고 사용자에게 연락할지 지역 인시던트 관리자와 상의할 수 있습니다.
-
작업 3에서 이것이 AUP(허용 가능한 사용 정책) 위반의 경우인 경우 다음 작업을 수행합니다.
-
작업 4에서는 AUP 위반 케이스임을 보안 인시던트를 업데이트해야 합니다.
-
작업 5에서는 플로우가 종료됩니다.
-
작업 6에서는 지금까지 수행한 조사를 기반으로 이것이 내부자 위협의 가능한 케이스인지 여부를 확인해야 합니다.
-
작업 7에서 내부자 위협의 경우 다음 작업을 수행합니다.
-
작업 8에서는 IT 지원에 연락하여 계정 동결을 요청해야 합니다.
-
작업 9에서는 악성 IP를 차단해야 합니다.
-
작업 10에서는 이메일을 통해 내부 직원에게 연락해야 합니다.
제공된 이메일 템플릿을 사용하여 내부 직원에게 연락할 수 있습니다.
-
작업 11에서는 격리를 해제하고 시스템을 운영 표준으로 되돌려야 합니다.
플로우가 종료됩니다.
-
작업 12에서 내부자 위협의 케이스가 아닌 경우 작업 13에서 동료 검토를 수행하여 제외 목록에 추가해야 하는지 여부를 결정해야 합니다.
플로우가 종료됩니다.
-
작업 14에서는 작업을 종결하기 전에 사후 인시던트 검토를 완료하기 위해 응답 작업이 생성됩니다.