Utiliser le playbook T1003 - Defense Evasion - Mimikatz DCShadow

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents de sécurité soupçonnés d’être causés par Mimikatz DCShadow. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Defense Evasion - Mimikatz DCShadow.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, découvrez quel compte est responsable de la création du nouveau contrôleur de domaine (contrôleur de domaine).
    2. Dans l’action 2, contactez l’utilisateur pour valider la justification commerciale.
      Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur.
    3. Dans l’action 3, vérifiez si l’utilisateur a fourni une justification commerciale valable.
    4. Dans l’action 4, si l’utilisateur a fourni une justification commerciale valide, procédez comme suit :
      1. Dans l’action 5, documentez les résultats obtenus jusqu’à présent.
      2. Dans l’action 6, lancez une revue post-incident.
        Dans l’action 7, après la revue post-incident, le flux s’arrête.
    5. Dans l’action 8, si l’utilisateur n’a pas fourni de justification commerciale valide, procédez comme suit :
      1. Dans l’action 9, verrouillez ou mettez en quarantaine tous les comptes, ordinateurs et autres appareils impliqués.
      2. Dans l’action 10, effectuez une enquête médico-légale sur les comptes verrouillés et identifiez si des données ont été exfiltrées ou si un code malveillant a été injecté.
      3. Dans l’action 11, réimagez les ressources affectées.
      4. Dans l’action 12, lever le confinement et ramener les systèmes aux normes opérationnelles.
      5. Dans l’action 13, terminez la revue post-incident avant de fermer la tâche.