Use o playbook T1003 - Detectar ferramentas de despejo de credenciais

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • As etapas a seguir fornecem instruções sobre as ações, tarefas e subfluxos que estão disponíveis no playbook T1003 - Detectar ferramentas de despejo de credencial.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Certifique-se de ter instalado o Security Operations Spoke (sn_sec_spoke).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Etapa 1, você precisa coletar informações sobre a conta do usuário.
      • Você precisa verificar a atividade do host para procurar atividades suspeitas.
      • Você precisa identificar o proprietário do servidor/endpoint/VM e capturar os dados correlacionados à ferramenta.
      • Você precisa coletar informações sobre as outras contas do usuário.
    2. Na etapa 2, você precisa verificar se este é um possível caso de violação da Política de uso aceitável (AUP).
      Você pode fazer uma revisão por pares com as evidências coletadas e consultar o gerente de incidentes regional para saber se deve entrar em contato com o usuário.
    3. Na etapa 3, se este for um caso de violação da Política de uso aceitável (AUP), execute as seguintes etapas:
      1. Na Etapa 4, você precisa atualizar o incidente de segurança de que este é um caso de violação de AUP
      2. Na Etapa 5, o fluxo termina.
    4. Na etapa 6, com base na investigação feita até o momento, você precisa verificar se este é um possível caso de ameaça interna ou não.
      Figura 1. T1003 - Detectar ferramentas de despejo de credenciais
      Tarefas de resposta para investigar se este é um possível caso de ameaça interna.
    5. Na Etapa 7, se este for um caso de ameaça interna, execute as seguintes etapas:
      1. Na Etapa 8, você precisa entrar em contato com o suporte de TI e solicitar um congelamento de conta.
      2. Na Etapa 9, você precisa bloquear IPs mal-intencionados.
      3. Na Etapa 10, você precisa entrar em contato com os funcionários internos por meio de um e-mail.
        Você pode usar o modelo de e-mail fornecido para entrar em contato com seus funcionários internos.
      4. Na Etapa 11, você precisa suspender a contenção e trazer os sistemas de volta aos padrões operacionais.
        O fluxo termina.
        Figura 2. Tarefas de resposta para retirar a contenção
        Tarefas de resposta para suspender a contenção e trazer os sistemas de volta aos padrões operacionais.
    6. Na Etapa 12, se este não for um caso de ameaça interna, na Etapa 13, você precisará executar uma revisão por pares para determinar se isso precisa ser adicionado à lista de exclusões.
      O fluxo termina.
    7. Na Etapa 14, uma tarefa de resposta é criada para concluir a revisão pós-incidente antes de fechar a tarefa.