Richten Sie das Playbook für deaktivierten Account für versuchten Zugriff ein

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Führen Sie die folgenden Schritte aus, um das Playbook für deaktivierten Account für versuchten Zugriff einzurichten.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie die Security Operations-Spoke ( sn_sec_Spoke ).

    Prozedur

    1. Melden Sie sich als Anwender mit den Rollen sn_si.user und Flow_Designer an.
    2. Navigieren zu Alle > Flow Designer Und wählen Sie aus Versuchter Zugriff – Deaktivierter Account playbook.
    3. Wahlweise: Erstellen Sie eine Kopie des Playbook-Flows „versuchter Zugriff – deaktivierter Account“, und nehmen Sie die erforderlichen Änderungen vor.

      Um eine Kopie des Playbook-Flows zu erstellen, wählen Sie aus Menü „weitere Aktionen“Symbol und wählen Sie aus Flow kopieren . Führen Sie diesen Schritt nur aus, wenn Sie planen, den Flow anzupassen oder bestimmte Änderungen vorzunehmen.

      Abbildung : 1. Versuchter Zugriff auf das Playbook für deaktivierte Accounts
      Übersicht über das Playbook „versuchter Zugriff auf deaktivierte Accounts“.
    4. Aktivieren Sie die Playbooks.
      1. Aktivieren Sie den Haupt-Flow, um das im Basissystem verfügbare Playbook zu verwenden.
      2. Aktivieren Sie die kopierten Flows, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
    5. Legen Sie ein fest Auslöserbedingung Für das Playbook.

      Dieses Playbook wird ausgelöst, wenn der Security Incident basierend auf Ihren erforderlichen Bedingungen erstellt oder aktualisiert wird. Beispiel: Wann Kategorie Ist Insider-Verstoß

      Abbildung : 2. Auslöserbedingung für versuchten Zugriff auf deaktivierte Accounts-Playbook
      Auslöserbedingung für versuchten Zugriff auf deaktivierte Accounts-Playbook.