Configurer le T1003 - Vidage des informations d’identification - Mimikatz DCsync Playbook

  • Rversion finale: Washingtondc
  • Mis à jour 2 févr. 2024
  • 1 minute de lecture

    • Procédez comme suit pour configurer le playbook T1003 - Vidage des informations d’identification - Mimikatz DCsync.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
    2. Accédez à la Tous > Concepteur de flux et sélectionnez T1003 - Credential Dumping - Mimikatz DCsync Playbook.
    3. Créez une copie du flux du playbook T1003 - Vidage des informations d’identification - Mimikatz DCsync et apportez les modifications nécessaires.

      Pour créer une copie du flux du playbook, sélectionnez l’icône de menu Plus d’actions , puis Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.

      Figure 1. T1003 : vidage des informations d’identification : Manuel Mimikatz DCSync
      Vue d’ensemble du playbook T1003 - Vidage des informations d’identification - Mimikatz DCSync.
    4. Activez les playbooks.
      1. Activez le flux principal pour utiliser le playbook disponible dans le système de base.
      2. Activez les flux copiés après avoir apporté les modifications requises.
    5. Condition de déclenchement du playbook : ce playbook est déclenché et associé à l’incident de sécurité lorsque la catégorie est Serveur ou service non autorisé.
      Figure 2. T1003 - Vidage des informations d’identification - Condition de déclenchement du Playbook DCSync Mimikatz
      Condition de déclenchement pour T1003 - Credential Dumping - Mimikatz DCSync Playbook.