Utiliser le playbook T1003 - Defense Evasion - Mimikatz DCShadow

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

1 minute de lecture

Utilisez ce manuel pour enquêter sur les incidents de sécurité soupçonnés d’être causés par Mimikatz DCShadow. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook T1003 - Évasion de défense - Mimikatz DCShadow.

Avant de commencer

Rôle requis :

sn_si.admin
flow_designer

Procédure

Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, recherchez quel compte est responsable de la création du nouveau contrôleur de domaine (contrôleur de domaine).
Dans l’Action 2, contactez l’utilisateur pour valider la justification commerciale.
Vous pouvez utiliser le modèle d’e-mail fourni pour contacter l’utilisateur.
Dans l’Action 3, vérifiez si l’utilisateur a fourni un motif commercial valide.
Dans l’action 4, si l’utilisateur a fourni un motif commercial valide, procédez comme suit :

Figure 1. T1003 - Évasion défensive - Mimikatz DCShadow Playbook
1. Dans Action 5, documentez les résultats obtenus jusqu’à présent.
2. Dans l’Action 6, lancez une revue post-incident.
  Dans l’Action 7, après la revue post-incident, le flux se termine.
Dans l’Action 8, si l’utilisateur n’a pas fourni de justification commerciale valide, procédez comme suit :

Figure 2. Utilisation du T1003 - Évasion défensive - Mimikatz DCShadow Playbook
1. Dans Action 9, verrouillez ou mettez en quarantaine tous les comptes, ordinateurs et autres appareils concernés.
2. Dans l’Action 10, effectuez une enquête médico-légale sur les comptes verrouillés et identifiez si des données ont été exfiltrées ou si un code malveillant a été injecté.
3. Dans l’Action 11, créez une nouvelle image des ressources affectées.
4. Dans l’action 12, lever le confinement et ramener les systèmes aux normes opérationnelles.
5. Dans l’Action 13, terminez la revue post-incident avant de fermer la tâche.