Verwenden Sie das Playbook T1003 – Defence Evasion – Mimikatz DCShadow

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Security Incidents zu untersuchen, bei denen der Verdacht besteht, dass sie durch Mimikatz DCShadow verursacht werden. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook T1003 – Defence Evasion – Mimikatz DCShadow verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, ermitteln Sie in Aktion 1, welches Konto für die Erstellung des neuen Domänencontrollers (DC) verantwortlich ist.
    2. Wenden Sie sich in Aktion 2 an den Benutzer, um die geschäftliche Begründung zu validieren.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Benutzer zu kontaktieren.
    3. Überprüfen Sie in Aktion 3, ob der Benutzer eine gültige geschäftliche Begründung angegeben hat.
    4. Wenn der Benutzer in Aktion 4 eine gültige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
      Abbildung : 1. T1003 – Umgehung der Verteidigung – Mimikatz DCShadow-Playbook
      Antwortaufgabe, um zu überprüfen, ob der Benutzer eine gültige geschäftliche Begründung angegeben hat
      1. Dokumentieren Sie in Aktion 5 die bisherigen Ergebnisse.
      2. Initiieren Sie in Aktion 6 eine Überprüfung nach Incidents.
        In Aktion 7 endet der Flow nach der Überprüfung nach Incidents.
    5. Wenn der Benutzer in Aktion 8 keine gültige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
      Abbildung : 2. Mit dem Playbook T1003 – Defence Evasion – Mimikatz DCShadow
      Antwortaufgaben, wenn der Benutzer keine gültige geschäftliche Begründung angegeben hat.
      1. Sperren oder stellen Sie in Aktion 9 alle beteiligten Konten, Computer und anderen Geräte unter Quarantäne.
      2. Führen Sie in Aktion 10 eine forensische Untersuchung der gesperrten Konten durch und stellen Sie fest, ob Daten exfiltriert oder schädlicher Code eingefügt wurde.
      3. Führen Sie in Aktion 11 ein neues Image der betroffenen Ressourcen durch.
      4. Heben Sie in Aktion 12 das Containment auf und bringen Sie die Systeme wieder in den Betriebszustand.
      5. Schließen Sie in Aktion 13 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.