T1003 - 防御回避 - ミミカッツ DCShadow プレイブックを使用する

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む1読むのに数分

    • 次のステップでは、「T1003 - 防御回避 - Mimikatz DCShadow Playbook 」で使用できるアクション、タスク、およびサブフローのウォークスルーを示します。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、手順 1 で、新しい DC (ドメイン コントローラー) の作成を担当するアカウントを見つける必要があります。
    2. ステップ 2 では、ビジネス上の根拠を検証するためにユーザーに連絡する必要があります。
      提供されたメールテンプレートを使用して、ユーザーに連絡できます。
    3. ステップ 3 では、ユーザーが有効な業務上の正当な理由を提供したかどうかを確認する必要があります。
    4. 手順 4 で、ユーザーが有効なビジネス上の正当な理由を提供した場合は、次の手順を実行します。
      図 : 1. T1003 - 防衛回避 - ミミカッツDCシャドウプレイブック
      ユーザーが有効なビジネス上の根拠を提供したかどうかを確認する応答タスク
      1. ステップ 5 では、これまでの結果を文書化するための応答タスクを作成します。
      2. ステップ 6 で、インシデントの事後レビューを開始するための応答を作成します。
        ステップ 7 では、インシデントの事後レビューの後、フローが終了します。
    5. 手順 8 で、ユーザーが有効な業務上の正当な理由を提供しなかった場合は、次の手順を実行します。
      図 : 2. サービスアカウントからの成功した VPN 試行の使用:企業/クラウド Playbook
      ユーザーが有効なビジネス上の根拠を提供しなかった場合の応答タスク。
      1. ステップ9では、関連するすべてのアカウント、コンピューター、およびその他のデバイスをロックダウンまたは隔離する必要があります。
      2. ステップ 10 では、ロックダウンされたアカウントでフォレンジック調査を実行し、データが盗み出されていないか、悪意のあるコードが挿入されていないかを特定する必要があります。
      3. ステップ 11 では、影響を受けるリソースを再イメージ化する必要があります。
      4. ステップ 12 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
      5. ステップ 13 で、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。