Utiliser le playbook T1003 - Vidage des informations d’identification - Mimikatz DCsync

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez ce manuel pour enquêter sur les incidents suspectés d’être causés par Mimikatz DCSync. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Vidage des informations d’identification - Mimikatz DCsync.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez l’activité de l’hôte sur Splunk et recherchez toute activité suspecte.
    2. Dans l’action 2, identifiez le propriétaire du serveur/point de terminaison/ordinateur virtuel.
      Si l’utilisateur est en ligne, exécutez CrowdStrike EDR pour recueillir un meilleur champ d’application des activités du système.
    3. Dans l’action 3, collectez des informations sur les autres activités du compte de l’utilisateur.
    4. Dans l’action 4, en fonction de l’enquête, vérifiez si le serveur/point de terminaison/ordinateur virtuel a déjà été utilisé pour le vidage des informations d’identification.
    5. Dans l’action 5, si le serveur/point de terminaison/ordinateur virtuel n’a pas été utilisé pour le vidage des informations d’identification, effectuez les actions suivantes :
      Figure 1. T1003 : vidage des informations d’identification : Playbook Mimikatz DCsync
      Tâche de réponse pour vérifier si le serveur/point de terminaison/ordinateur virtuel a été utilisé pour le vidage des informations d’identification.
      1. Dans l’action 6, mettez à jour la requête d’alerte si nécessaire.
      2. Dans Action 7, mettez à jour la liste d’autorisation si nécessaire.
      3. Dans Action 8, documentez les résultats obtenus jusqu’à présent.
      4. Dans l’Action 9, lancez une revue post-incident.
        Dans l’action 10, le flux se termine.
    6. Si le serveur/point de terminaison/ordinateur virtuel a été utilisé pour le vidage des informations d’identification, contactez l’utilisateur dans l’action 11.
      Figure 2. Utilisation du T1003 - Vidage des informations d’identification - Playbook Mimikatz DCsync
      Tâches de réponse lorsque le serveur/point de terminaison/ordinateur virtuel a été utilisé pour le vidage des informations d’identification
    7. Dans l’Action 12, contactez l’utilisateur pour valider la justification commerciale.
    8. Dans l’Action 13, si l’utilisateur a fourni une justification commerciale valide, effectuez les actions suivantes :
      1. Dans Action 14, documentez les résultats obtenus jusqu’à présent.
      2. Dans l’action 15, lancez une revue post-incident.
        Dans l’action 16, le flux se termine.
    9. Si l’utilisateur n’a pas fourni de justification commerciale valide, alors dans l’Action 17, mettez le système en quarantaine.
    10. Dans Action 18, supprimez tous les fichiers indésirables qui ont pu être créés ou supprimés par les comptes malveillants.
    11. Dans l’action 19, lever le confinement et ramener les systèmes aux normes opérationnelles.
    12. Dans l’Action 20, terminez la revue post-incident avant de fermer la tâche.