Utiliser le playbook T1003 - Credential Dumping - Mimikatz DCsync

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents soupçonnés d’être causés par Mimikatz DCSync. Les étapes suivantes vous fournissent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Credential Dumping - Mimikatz DCsync.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez l’activité de l’hôte sur Splunk et recherchez toute activité suspecte.
    2. Dans l’action 2, identifiez le propriétaire du serveur/point de terminaison/VM.
      Si l’utilisateur est en ligne, exécutez l’EDR CrowdStrike pour obtenir une meilleure portée des activités du système.
    3. Dans l’action 3, rassemblez des informations sur les autres activités du compte de l’utilisateur.
    4. Dans l’action 4, sur la base de l’enquête, vérifiez si le serveur/point de terminaison/VM a déjà été utilisé pour le dumping des informations d’identification.
    5. Dans l’action 5, si le serveur/point de terminaison/VM n’a pas été utilisé pour le dumping des informations d’identification, effectuez les actions suivantes :
      1. Dans l’action 6, mettez à jour la requête d’alerte si nécessaire.
      2. Dans l’action 7, mettez à jour la liste d’autorisation si nécessaire.
      3. Dans l’action 8, documentez les résultats obtenus jusqu’à présent.
      4. Dans l’action 9, lancez un examen post-incident.
        Dans l’action 10, le flux s’arrête.
    6. Si le serveur/point de terminaison/VM a été utilisé pour le dumping des informations d’identification, dans l’action 11, contactez l’utilisateur.
    7. Dans l’action 12, contactez l’utilisateur pour valider la justification commerciale.
    8. Dans l’action 13, si l’utilisateur a fourni une justification commerciale valide, effectuez les actions suivantes :
      1. Dans l’action 14, documentez les résultats obtenus jusqu’à présent.
      2. Dans l’action 15, lancez une revue post-incident.
        Dans l’action 16, le flux s’arrête.
    9. Si l’utilisateur n’a pas fourni de justification commerciale valide, mettez le système en quarantaine dans l’action 17.
    10. Dans l’action 18, supprimez tous les fichiers indésirables qui ont pu être créés ou supprimés par les comptes non fiables.
    11. Dans l’action 19, lever le confinement et ramener les systèmes aux normes opérationnelles.
    12. Dans l’action 20, effectuez la revue post-incident avant de fermer la tâche.