T1003 - 자격 증명 덤핑 - Mimikatz DCsync 플레이북 설정

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 다음 단계를 사용하여 T1003 - 자격 증명 덤프 - Mimikatz DCsync 플레이북을 설정합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    sn_sec_spoke(보안 운영 스포크)를 설치했는지 확인합니다.

    프로시저

    1. sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
    2. 다음으로 이동 모두 > 플로우 디자이너 을 클릭하고 T1003 - 자격 증명 덤프 - Mimikatz DCsync 플레이북을 선택합니다.
    3. 옵션: T1003 - 자격 증명 덤핑 - Mimikatz DCsync 플레이북 플로우의 사본을 생성하고 필요한 수정을 수행합니다.

      플레이북 플로우의 사본을 생성하려면 추가 작업 메뉴 아이콘을 선택하고 플로우 복사를 선택합니다. 플로우를 사용자 지정하거나 특정 변경 사항을 적용하려는 경우에만 이 단계를 수행합니다.

      그림 1. T1003 - 자격 증명 덤핑 - Mimikatz DCSync 플레이북
      T1003 - 자격 증명 덤핑 - Mimikatz DCSync 플레이북에 대한 개요입니다.
    4. Playbook을 활성화합니다.
      1. 기본 플로우를 활성화하여 기본 시스템에서 제공되는 플레이북을 사용합니다.
      2. 필요한 변경 사항을 적용한 후 복사된 플로우를 활성화합니다.
    5. 플레이북에 대한 트리거 조건을 설정합니다.

      이 Playbook은 트리거되며 범주Rogue 서버 또는 서비스일 때 보안 인시던트와 연결됩니다.

      그림 2. T1003 - 자격 증명 덤핑 - Mimikatz DCSync Playbook 트리거 조건
      T1003 - 자격 증명 덤핑 - Mimikatz DCSync 플레이북에 대한 트리거 조건입니다.