T1003 - 자격 증명 덤핑 - Mimikatz DCsync 플레이북 사용

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 1분

    • 이 플레이북을 사용하여 Mimikatz DCSync로 인해 발생한 것으로 의심되는 인시던트를 조사합니다. 다음 단계에서는 T1003 - 자격 증명 덤핑 - Mimikatz DCsync 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행을 시작하면 작업 1에서 Splunk의 호스트 활동을 확인하고 의심스러운 활동을 찾습니다.
    2. 작업 2에서는 서버/엔드포인트/VM의 소유자를 식별합니다.
      사용자가 온라인 상태인 경우 CrowdStrike EDR을 실행하여 시스템 활동의 더 나은 범위를 수집합니다.
    3. 작업 3에서는 사용자의 다른 계정 활동에 대한 정보를 수집합니다.
    4. 작업 4에서는 조사를 기반으로 서버/엔드포인트/VM이 자격 증명 덤핑에 사용된 적이 있는지 확인합니다.
    5. 작업 5에서 서버/엔드포인트/VM이 자격 증명 덤핑에 사용되지 않은 경우 다음 작업을 수행합니다.
      1. 작업 6에서 필요한 경우 경보 쿼리를 업데이트합니다.
      2. 작업 7에서 필요한 경우 허용 목록을 업데이트합니다.
      3. 작업 8에서는 지금까지의 결과를 문서화합니다.
      4. 작업 9에서는 사후 인시던트 검토를 시작합니다.
        작업 10에서는 플로우가 종료됩니다.
    6. 서버/엔드포인트/VM이 자격 증명 덤핑에 사용된 경우 작업 11에서 사용자에게 연락하십시오.
    7. 작업 12에서 사용자에게 연락하여 비즈니스 정당성을 확인합니다.
    8. 작업 13에서 사용자가 유효한 비즈니스 정당성을 제공한 경우 다음 작업을 수행합니다.
      1. 작업 14에서는 지금까지의 결과를 문서화합니다.
      2. 작업 15에서 사후 인시던트 검토를 시작합니다.
        작업 16에서는 플로우가 종료됩니다.
    9. 사용자가 유효한 비즈니스 정당성을 제공하지 않은 경우 작업 17에서 시스템을 격리합니다.
    10. 작업 18에서 악성 계정이 만들거나 삭제했을 수 있는 원치 않는 파일을 제거합니다.
    11. 작업 19에서는 봉쇄를 해제하고 시스템을 작동 표준으로 되돌립니다.
    12. 작업 20에서 작업을 종결하기 전에 사후 인시던트 검토를 완료합니다.