Verwenden Sie das Playbook „T1003 – Detect Credential Dumping Tools“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „T1003 – Detect Credential Dumping Tools“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie Security Operations Spoke (sn_sec_spoke) installiert haben.

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, müssen Sie in Schritt 1 Informationen zum Konto des Benutzers erfassen.
      • Sie müssen die Hostaktivität überprüfen, um nach verdächtigen Aktivitäten zu suchen.
      • Sie müssen den Besitzer des Servers/Endpunkts/der VM identifizieren und die Daten erfassen, die dem Tool entsprechen.
      • Sie müssen Informationen zu den anderen Accounts des Benutzers sammeln.
    2. In Schritt 2 müssen Sie überprüfen, ob dies ein möglicher Verstoßfall für die Richtlinie zur zulässigen Nutzung (AUP) ist.
      Sie können eine Peer-Review mit den gesammelten Nachweisen durchführen und sich mit Ihrem regionalen Incident Manager beraten, ob Sie den Benutzer kontaktieren sollen.
    3. Wenn es sich in Schritt 3 um einen Verstoß gegen die Richtlinie zur zulässigen Nutzung (AUP) handelt, führen Sie die folgenden Schritte aus:
      1. In Schritt 4 müssen Sie den Security Incident so aktualisieren, dass es sich um einen AUP-Verstoß handelt
      2. In Schritt 5 endet der Flow.
    4. In Schritt 6 müssen Sie basierend auf der bisher durchgeführten Untersuchung überprüfen, ob dies ein möglicher Fall einer internen Bedrohung ist oder nicht.
      Abbildung : 1. T1003 – Playbook „Erkennen Sie Tools für das Dumping von Anmeldeinformationen“.
      Antwortaufgaben, um zu untersuchen, ob dies ein möglicher Fall einer internen Bedrohung ist.
    5. Wenn es sich um eine interne Bedrohung handelt, führen Sie in Schritt 7 die folgenden Schritte aus:
      1. In Schritt 8 müssen Sie sich an den IT-Support wenden und eine Kontosperre anfordern.
      2. In Schritt 9 müssen Sie schädliche IPs blockieren.
      3. In Schritt 10 müssen Sie interne Mitarbeiter per E-Mail kontaktieren.
        Sie können die bereitgestellte E-Mail-Vorlage verwenden, um Ihre internen Mitarbeiter zu kontaktieren.
      4. In Schritt 11 müssen Sie das Containment aufheben und die Systeme wieder in den Betriebszustand versetzen.
        Der Flow endet.
        Abbildung : 2. Antwortaufgaben zum Aufheben des Containments
        Reaktionsaufgaben, um die Eindämmung aufzuheben und die Systeme wieder auf den Betriebsstandard zu bringen.
    6. Wenn es sich in Schritt 12 nicht um eine interne Bedrohung handelt, müssen Sie in Schritt 13 eine Peer-Überprüfung durchführen, um festzustellen, ob dies der Ausschlussliste hinzugefügt werden muss.
      Der Flow endet.
    7. In Schritt 14 wird eine Antwortaufgabe erstellt, um die Überprüfung nach dem Incident abzuschließen, bevor die Aufgabe geschlossen wird.