ログイン失敗手動プレイブック

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:7分

    • ユーザーが (SIM 構成に従って) 一定回数ログインに失敗すると、セキュリティインシデントが作成されます。

    これらの失敗したログイン試行は、誤検出であるか、ユーザーのメールアカウントへのアクセスを取得しようとする攻撃者の試みである可能性があります。このようなシナリオでは、ログイン失敗手動プレイブック は、ガイダンスを提供し、失敗したログインセキュリティインシデントの調査を最適化するのに役立ちます。

    必須条件

    必要なロール:
    • sn_si.admin
    • flow_designer

    スポーク:Security Operations スポークのインストール (sn_sec_spoke)

    主な機能

    ログイン失敗プレイブックには、セキュリティインシデントを調査するための次の機能が含まれています。

    1. 影響を受けるユーザーがアクティブ/非アクティブユーザーであるかどうかを確認する。
    2. 許可リスト観測事象をフィルタリングする。
    3. 観測事象を拡張する。
    4. 自動脅威ルックアップを実行する。
    5. 失敗したログイン試行を確認する自動メールをユーザーに送信する。
    6. ユーザーアクセスを調査するタスクをアナリストにアサインする。
    7. 悪意のある観測事象とブロック IP および URL を特定する。
    8. ユーザーパスワードをリセットする。
    9. セキュリティインシデントのステータスを更新する。
    10. インシデントの事後レビューを処理するタスクをセキュリティアナリストにアサインする。

    必要な機能

    • 脅威のルックアップ (Virus Total、ハイブリッド分析)
    • 観測事象を拡張 (Whois、ReverseWhois)
    • サイティング検索 (Splunk、QRadar)
    • 観測事象のブロック (CheckPoint、Palo Alto)

    詳細については、ServiceNow Store を参照してください。

    セキュリティアナリストエクスペリエンス

    セキュリティ上の脅威を段階的に解決する方法を理解するには、「プレイブックによるセキュリティの脅威の解決」を参照してください。

    フローデザイナーの機能を使うログイン失敗プレイブックの使用

    はじめに
    1. sn_si.user および flow_designer ロールを持つユーザーとしてログインします。
    2. 移動先 フローデザイナー > デザイナー をクリックし、 ログイン失敗 プレイブックをクリックします。
    3. 次のフローのコピーを作成して、ログイン失敗プレイブックをコピーし、必要な変更を行います(これはオプションのステップです。フローをカスタマイズまたは変更する場合にのみ、このステップを実行します)。
      • ログイン失敗手動プレイブック V1
      • ログイン失敗:ユーザーの返信を解析し、応答タスクを更新 V1
    4. 要件に応じて必要な変更を行います。(これはオプションのステップです。フローをカスタマイズまたは変更する場合にのみ、このステップを実行します)。
    5. プレイブックをアクティブ化します。
      • ベースシステムで利用可能なプレイブックを使用するには、メインフローをアクティブ化します。
      • 要件に応じて変更を加えた後、コピーしたフローをアクティブ化します。

    次の画像は、ログイン失敗手動プレイブック のコピーを示しています。以下の手順では、プレイブックでのさまざまなアクションについて説明しています。


    ログイン失敗手動プレイブック のコピー
    このプレイブックは、次の条件が満たされるとトリガーされ、セキュリティインシデントに関連付けられます。
    • カテゴリが [ログイン失敗] である。
    • 影響を受けるユーザーが 1 人以上いる。
    • セキュリティインシデントがクローズまたはキャンセルされていない。

    ログイン失敗プレイブック:トリガー

    次のステップでは、ログイン失敗手動プレイブック で利用可能なアクション、タスク、およびサブフローについて説明します。

    1. プレイブックの実行が開始されると、ステップ 1 で、ログイン失敗カテゴリのセキュリティインシデントがアサインされたことを示す作業メモでプレイブックが自動的に更新されます。
      ログイン失敗プレイブック:ステップ 1
    2. ステップ 2 では、プレイブックが更新され、[分析] ステータスに移行します。
    3. ステップ 3 で、プレイブックは、影響を受けるユーザーがアクティブ/非アクティブユーザーであるかどうかを確認します。ユーザーが非アクティブの場合、ユーザーアカウントが非アクティブであるという作業メモがセキュリティインシデントに追加されます。
      ログイン失敗プレイブック:ステップ 3
      注:
      フローのステップ 3 では、ServiceNow で利用可能な sn_si_incident テーブル内の非アクティブなユーザーを確認します。このステップは指針として提供されており、特定の環境に合わせて変更する必要があります。この機能を使用する場合は、お使いの環境で Active Directory 統合を設定することをお勧めします。Active Directory 統合を使用してユーザーステータスを確認し、応答に応じてプレイブックの次のステップを設計できます。

      Active Directory 統合を設定していない場合は、セキュリティアナリストが IT チームと協力してユーザーをブロックし、プレイブックの残りの手順を進めるために、このステップを手動タスクで置き換えます。

    4. ステップ 4 では、セキュリティインシデントの観測事象が取得されます。
    5. ステップ 5 では、観測事象が特定されます。
    6. 観測事象が見つからない場合は、ステップ 6 で手動応答タスクが作成され、フローが終了します。
      ログイン失敗プレイブック:ステップ 6
    7. ステップ 7 で観測事象が見つかった場合、許可リストにない観測事象が特定されます。
    8. 少なくとも 1 つの観測事象が許可リストにない場合、次のステップが実行されます。
      1. ステップ 8.1 および 8.2 が実行されます。観測事象が取得され、自動応答タスクが開始されます。
        ログイン失敗プレイブック:ステップ 8.1 および 8.2
      2. 自動タスクが作成された後、ステップ 8.3 (8.3.1.1 および 8.3.2.1) が実行され、「観測事象を拡張」および「脅威のルックアップ」統合が実行されます。これらはプレイブックに含まれているサブフローです。
        ログイン失敗プレイブックフロー:ステップ 8.3.1.1 および 8.3.1.2
      3. ステップ 8.4 で、統合が完了した後、セキュリティインシデントレコードが更新されます。
      4. ステップ 8.5 で、次に実行される自動タスクを示す新しい応答タスクが作成されます。
      5. ステップ 8.6 で、観測事象に対してサイティング検索統合が実行されます。
        ログイン失敗プレイブック:ステップ 8.6
      6. サイティング検索サブフローが完了した後、ステップ 8.7 でセキュリティインシデントが更新されます。
      7. ステップ 8.8 で、観測事象が悪意のあるものかどうかが確認されます。
      8. 観測事象が悪意のあるものでなく、ユーザーアカウントがアクティブな場合、ログイン試行の失敗を再確認するために自動メールがユーザーに送信されます。観測事象を特定してセキュリティインシデントに追加するために、手動応答タスクが作成されます。プレイブックはこのステージで終了します。
      9. 観測事象が悪意のあるものである場合、次の 3 つの応答タスクが作成されます。
        1. ログイン試行の失敗を確認するための自動メールがユーザーに送信されます (「はい」または「いいえ」)。ユーザーが「はい」と応答した場合:
          1. セキュリティインシデントのステータスが [封じ込め] に更新されます。
          2. パスワードをリセットするためのメールがユーザーに送信されます。
          3. 「パスワードのリセット」サブフローが開始され、タスクが完了するとメールがユーザーに送信されます。
          注:
          「パスワードのリセット」ステップは指針として提供されています。フローのステップでは、ServiceNow システムのユーザーアカウントのパスワードをリセットします。ただし、パスワードをリセットするプロセスは環境によって異なる場合があります。Active Directory 統合を確認して、ユーザーのパスワードを自動的にリセットできます。Active Directory 統合を設定していない場合は、各タスクの完了時に、セキュリティアナリストが IT チームと協力してユーザーのパスワードをリセットし、プレイブックの残りの手順を進めるために、このステップを手動タスクで置き換えます。
        2. ユーザーが「いいえ」と応答した場合、応答を再確認するために自動メールがユーザーに送信されます。セキュリティアナリストは、手動で適切なアクションを実行する必要があります。
        3. ユーザーが自動メールに応答しない場合、セキュリティアナリストは、手動でセキュリティインシデントを更新し、応答を提供する必要があります。ユーザーアカウントが侵害されているかどうかを検証するための手動タスクが作成されます。

        ログイン失敗プレイブック:ステップ 8.10.2
    9. ステップ 8.10.3 で、セキュリティインシデントのステータスが更新されます。
    10. ステップ 8.10.4 で、悪意のある IP および URL に対するブロック要求の作成機能の実装が利用可能かどうかを確認する自動タスクが作成されます。機能実装が利用可能な場合は、「ブロック要求の作成」サブフローが実行されます。これを利用できない場合、セキュリティインシデントが更新され、機能実装を利用できないことを示す作業メモが投稿されます。
    11. ステップ 9 で、セキュリティインシデントが更新され、ステータスが [レビュー] に更新されます。
    12. ステップ 10 で、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。