T1003 - 자격 증명 덤핑 - Mimikatz DCsync 플레이북 사용

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 이 플레이북을 사용하여 Mimikatz DCSync로 인한 것으로 의심되는 인시던트를 조사합니다. 다음 단계에서는 T1003 - 자격 증명 덤프 - Mimikatz DCsync 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. Playbook이 트리거되고 실행이 시작되면 작업 1에서 Splunk의 호스트 활동을 확인하고 의심스러운 활동이 있는지 확인합니다.
    2. 작업 2에서 서버/엔드포인트/VM의 소유자를 식별합니다.
      사용자가 온라인 상태인 경우 CrowdStrike EDR을 실행하여 시스템 활동의 더 나은 범위를 수집합니다.
    3. 작업 3에서 사용자의 다른 계정 활동에 대한 정보를 수집합니다.
    4. 작업 4에서는 조사에 따라 서버/엔드포인트/VM이 자격 증명 덤프에 사용된 적이 있는지 확인합니다.
    5. 작업 5에서 서버/엔드포인트/VM이 자격 증명 덤프에 사용되지 않은 경우 다음 작업을 수행합니다.
      그림 1. T1003 - 자격 증명 덤핑 - Mimikatz DCsync 플레이북
      서버/엔드포인트/VM이 자격 증명 덤핑에 사용되었는지 여부를 확인하는 응답 작업입니다.
      1. 필요한 경우 작업 6에서 경고 쿼리를 업데이트합니다.
      2. 작업 7에서 필요한 경우 허용 목록을 업데이트합니다.
      3. 작업 8에서 지금까지의 결과를 문서화합니다.
      4. 작업 9에서 사후 인시던트 검토를 시작합니다.
        작업 10에서 플로우가 종료됩니다.
    6. 서버/엔드포인트/VM이 자격 증명 덤프에 사용된 경우 조치 11에서 사용자에게 연락합니다.
      그림 2. T1003 - 자격 증명 덤핑 - Mimikatz DCsync 플레이북 사용
      응답 작업 서버/엔드포인트/VM이 자격 증명 덤핑에 사용되었을 때
    7. 작업 12에서 사용자에게 연락하여 비즈니스 정당성을 확인합니다.
    8. 작업 13에서 사용자가 유효한 비즈니스 정당성을 제공하면 다음 작업을 수행합니다.
      1. 작업 14에서 지금까지의 결과를 문서화합니다.
      2. 작업 15에서 사후 인시던트 검토를 시작합니다.
        작업 16에서 플로우가 종료됩니다.
    9. 사용자가 유효한 비즈니스 정당성을 제공하지 않은 경우 작업 17에서 시스템을 격리합니다.
    10. 작업 18에서 Rogue 계정에 의해 생성되거나 삭제되었을 수 있는 원치 않는 파일을 제거합니다.
    11. 조치 19에서는 봉쇄를 해제하고 시스템을 운영 표준으로 되돌립니다.
    12. 작업 20에서 작업을 종료하기 전에 사후 인시던트 검토를 완료합니다.