Playbook for T1003 - 資格情報ダンピングツールの検出
この Playbook は、Phisher のメールアドレスに類似ドメインが存在する可能性をアナリストに警告することで、ユーザーから報告されたフィッシング送信の初期段階でのトリアージを支援します。
ワークフローは既存の Playbook に基づいて作成され、インシデント調査のための一貫した効率的なアプローチを提供します。Playbook の各意思決定ポイントは結果主導型タスクに変換され、そのようなタスクの結果に基づいてフローの方向が変わります。
T1003 入門 - 資格情報ダンピングツールの検出プレイブック
- sn_si.user および flow_designer ロールを持つユーザーとしてログインします。
- 移動先 をクリックし、[ T1003 - 資格情報ダンピングツールの検出 (T1003 - Detect Credential Dumping Tools )] プレイブックを選択します。
- (オプション)「T1003 - 資格情報ダンピングツールの検出」Playbook フローのコピーを作成し、必要な変更を加えることができます。Playbook のフローのコピーを作成するには、[
![その他のアクション] メニュー](data:image/png;base64,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)
アイコンをクリックし、[ フローのコピー] を選択します。このステップは、フローをカスタマイズまたは変更する場合にのみ実行します。図 : 1. T1003:資格情報ダンピングツールの検出プレイブック - Playbook をアクティブ化します。
- ベースシステムで利用可能な Playbook を使用するには、メインフローをアクティブ化します。
- 必要な変更を行った後、コピーしたフローをアクティブ化します。
トリガー条件:この Playbook は、 カテゴリ が 悪意のあるコードアクティビティである場合にトリガーされ、セキュリティインシデントに関連付けられます。