Verwenden Sie das Playbook „versuchter Zugriff auf deaktivierte Accounts“

Sicherheitsmanagement Zürich

Release

zurich

ft:locale

de-DE

ft:publication_title

Sicherheitsmanagement Zürich

ft:clusterId

security

bundleId

security

workflow

Technology

Verwenden Sie das Playbook „versuchter Zugriff auf deaktivierte Accounts“

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

2 Minuten Lesedauer

Verwenden Sie dieses Playbook, wenn ein Mitarbeiter, dessen Account beendet, deaktiviert oder getrennt wurde, versucht, sich mit seinen Anmeldeinformationen anzumelden. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „versuchter Zugriff auf deaktivierte Accounts“ verfügbar sind.

Vorbereitungen

Erforderliche Rolle:

sn_si.admin
flow_designer

Prozedur

Wenn das Playbook ausgelöst wird und die Ausführung beginnt, überprüfen Sie in Aktion 1, ob der versuchte Zugriff auf die deaktivierten Accounts von einem aktiven Anwender erfolgt ist.
Überprüfen Sie in Aktion 2, ob der versuchte Zugriff auf die deaktivierten Accounts von einem aktiven Mitarbeiter erfolgt ist.

Abbildung : 1. Versuchter Zugriff auf das Playbook für deaktivierte Accounts
Wenn der versuchte Zugriff auf die deaktivierten Accounts von einem aktiven Mitarbeiter erfolgt ist, führen Sie die folgenden Schritte aus:
1. Überprüfen Sie in Aktion 3, ob der Anwender ein Projekt oder einen Testfall hatte, der dazu geführt hat, dass der Anwender ein inaktiver Mitarbeiter wurde.
2. Wenn der Anwender in Aktion 4 keinen Projekt- oder Testfall hatte, der dazu geführt hat, dass der Anwender inaktiver Mitarbeiter wurde, arbeiten Sie mit dem IT-Support-Team zusammen, um die Fehlkonfiguration zu beheben.
  Der Flow endet.
3. Wenn der Anwender in Aktion 5 einen Projekt- oder Testfall hatte, der dazu geführt hat, dass der Anwender ein inaktiver Mitarbeiter wurde, führen Sie die folgenden Schritte aus:
  1. Dokumentieren Sie in Aktion 6 die bisherigen Ergebnisse.
  2. Initiieren Sie in Aktion 7 eine Überprüfung nach Incident.
    In Aktion 8 endet der Flow nach der Überprüfung nach dem Incident.
Führen Sie in Aktion 9 die folgenden Schritte aus, wenn der versuchte Zugriff auf den deaktivierten Account nicht von einem aktiven Mitarbeiter vorgenommen wurde:
1. Überprüfen Sie in Aktion 10, ob sich der Anwender erfolgreich angemeldet hat.
2. Überprüfen Sie in Aktion 11, wann der Mitarbeiter aus dem Onboarding entlassen wurde.
3. Untersuchen Sie in Aktion 12 die Ereignisse in Splunk, um die Aktivitäten des Anwenders während des Zeitraums zu untersuchen.
4. Bestimmen Sie in Aktion 13 basierend auf der bisherigen Untersuchung, ob der Anwender Daten exfiltriert hat.
5. Führen Sie in Aktion 14 die folgenden Schritte aus, wenn der Anwender keine Daten exfiltriert hat:
  1. Arbeiten Sie in Aktion 15 mit dem IT-Support-Team zusammen, um aktive Sitzungen zu beenden und die Accounts zu deaktivieren.
  2. Dokumentieren Sie in Aktion 16 die bisherigen Ergebnisse.
  3. Initiieren Sie in Aktion 17 eine Überprüfung nach dem Incident.
  In Aktion 18 endet der Flow nach der Überprüfung nach dem Incident.
  
  Abbildung : 2. Verwenden des Playbooks „versuchter Zugriff auf deaktivierte Accounts“
Wenn der Anwender in Aktion 19 Daten exfiltriert hat, gehen Sie wie folgt vor:
1. Sperren Sie in Aktion 20 den böswilligen Anwender aus, und löschen Sie alle aktiven Sitzungen.
2. Arbeiten Sie in Aktion 21 mit dem IT-Support-Team zusammen, um alle Accounts zu deaktivieren.
3. Stellen Sie in Aktion 22 sicher, dass die Ressourcen auf den normalen Status zurückgesetzt und frei von böswilligen Aktivitäten sind.
  Sie können die Ressourcen bei Bedarf neu erstellen.
4. Heben Sie in Aktion 23 die Eindämmung auf, und bringen Sie Systeme wieder auf Betriebsstandards zurück.
5. Schließen Sie in Aktion 24 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.