この Playbook では、Mimikatz DCShadow が原因と疑われるインシデントを調査するための体系的な修復手順について説明します。DCShadow は Mimikatz の機能で、ドメイン コントローラー (Active Directory を制御するサーバー) の動作をシミュレートして、標準のセキュリティ コントロール (SIEM を含む) のほとんどをバイパスして独自のデータを挿入します。

Mimikatz DCShadow は、攻撃者が Active Directory (AD) の一部となる不正なドメイン コントローラー (DC) を確立するのに役立ちます。登録されると、正当なDCとして機能し、損傷を引き起こす可能性があります。

T1003 入門 - 防御回避 - ミミカッツ DCShadow プレイブック

1. sn_si.user および flow_designer ロールを持つユーザーとしてログインします。
2. 移動先 すべて > Flow Designer をクリックし、[ T1003 - 防衛回避 - ミミカッツ DCShadow ] プレイブックを選択します。
3. (オプション)「T1003 - 防御回避 - Mimikatz DCShadow Playbook 」フローのコピーを作成し、必要な変更を加えることができます。Playbook のフローのコピーを作成するには、[ アイコンをクリックし、[ フローのコピー] を選択します。このステップは、フローをカスタマイズまたは変更する場合にのみ実行します。

   

4. Playbook をアクティブ化します。
   • ベースシステムで利用可能な Playbook を使用するには、メインフローをアクティブ化します。
   • 必要な変更を行った後、コピーしたフローをアクティブ化します。

トリガー条件:この Playbook は、 カテゴリ が 悪意のあるコードアクティビティである場合にトリガーされ、セキュリティインシデントに関連付けられます。