Utiliser le playbook T1003 - Outils de détection de dumping d’informations d’identification

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur un incident impliquant des activités de dumping d’informations d’identification. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Détecter les outils de dumping d’informations d’identification.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé Opérations de sécurité le spoke (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez collecter des informations sur le compte de l’utilisateur.
      • Vous devez vérifier l’activité de l’hôte pour rechercher toute activité suspecte.
      • Vous devez identifier le propriétaire du serveur/point de terminaison/VM et capturer les données corrélées à l’outil.
      • Vous devez recueillir des informations sur les autres comptes de l’utilisateur.
    2. Dans l’action 2, vous devez vérifier s’il s’agit d’un cas possible de violation de la politique d’utilisation acceptable (AUP).
      Vous pouvez effectuer un examen par les pairs avec les preuves recueillies et consulter votre gestionnaire d’incidents régional pour savoir si vous souhaitez contacter l’utilisateur.
    3. Dans l’action 3, s’il s’agit d’un cas de violation de la politique d’utilisation acceptable (AUP), effectuez les actions suivantes :
      1. Dans l’action 4, vous devez informer l’incident de sécurité qu’il s’agit d’un cas de violation de l’AUP
      2. Dans l’action 5, le flux s’arrête.
    4. Dans l’action 6, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier s’il s’agit d’un cas possible de menace interne ou non.
    5. Dans l’action 7, s’il s’agit d’un cas de menace interne, effectuez les actions suivantes :
      1. Dans l’action 8, vous devez contacter l’assistance informatique et demander un gel du compte.
      2. Dans l’action 9, vous devez bloquer les adresses IP malveillantes.
      3. Dans l’action 10, vous devez contacter les employés internes par e-mail.
        Vous pouvez utiliser le modèle d’e-mail fourni pour contacter vos employés internes.
      4. Dans l’action 11, vous devez lever le confinement et ramener les systèmes aux normes opérationnelles.
        Le flux s’arrête.
    6. Dans l’action 12, s’il ne s’agit pas d’un cas de menace interne, dans l’action 13, vous devez effectuer un examen par les pairs pour déterminer si cela doit être ajouté à la liste d’exclusion.
      Le flux s’arrête.
    7. Dans l’action 14, une tâche de réponse est créée pour terminer la revue post-incident avant de fermer la tâche.