T1003 - 자격 증명 덤핑 탐지 도구 플레이북 사용

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 이 플레이북을 사용하여 자격 증명 덤프 활동과 관련된 인시던트를 조사합니다. 다음 단계에서는 T1003 - 자격 증명 덤핑 도구 탐지 플레이북에서 사용할 수 있는 동작, 작업 및 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    sn_sec_spoke(보안 운영 스포크)를 설치했는지 확인합니다.

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 사용자의 계정에 대한 정보를 수집해야 합니다.
      • 의심스러운 활동을 찾으려면 호스트 활동을 확인해야 합니다.
      • 서버/엔드포인트/VM의 소유자를 식별하고 도구와 상관 관계가 있는 데이터를 캡처해야 합니다.
      • 사용자의 다른 계정에 대한 정보를 수집해야 합니다.
    2. 조치 2에서는 이용 제한 방침(AUP) 위반 사례가 될 수 있는지 확인해야 합니다.
      수집된 증거로 동료 검토를 수행하고 해당 사용자에게 연락할지 여부를 지역 인시던트 관리자와 상의할 수 있습니다.
    3. 조치 3에서 AUP(제한적 사용 정책) 위반의 경우인 경우 다음 조치를 수행합니다.
      1. 작업 4에서는 AUP 위반 사례임을 보안 인시던트를 업데이트해야 합니다
      2. 작업 5에서 플로우가 종료됩니다.
    4. 조치 6에서는 지금까지 수행된 조사를 기반으로 이것이 내부자 위협의 가능성 있는 사례인지 여부를 확인해야 합니다.
      그림 1. T1003 - 자격 증명 덤핑 도구 탐지 플레이북
      내부자 위협의 가능한 케이스인지 조사하기 위한 대응 작업입니다.
    5. 작업 7에서 내부자 위협의 경우인 경우 다음 작업을 수행합니다.
      1. 작업 8에서는 IT 지원에 문의하여 계정 동결을 요청해야 합니다.
      2. 작업 9에서는 악성 IP를 차단해야 합니다.
      3. 작업 10에서는 이메일을 통해 내부 직원에게 연락해야 합니다.
        제공된 이메일 템플릿을 사용하여 내부 직원에게 문의할 수 있습니다.
      4. 작업 11에서는 제한을 해제하고 시스템을 운영 표준으로 되돌려야 합니다.
        플로우가 종료됩니다.
        그림 2. 제한을 해제하기 위한 응답 작업
        봉쇄를 해제하고 시스템을 운영 표준으로 되돌리기 위한 대응 작업입니다.
    6. 작업 12에서 내부자 위협의 사례가 아닌 경우 작업 13에서 동료 검토를 수행하여 제외 목록에 추가해야 하는지 여부를 결정해야 합니다.
      플로우가 종료됩니다.
    7. 작업 14에서는 작업을 종결하기 전에 사후 인시던트 검토를 완료하는 응답 작업이 생성됩니다.