Verwenden Sie die erfolgreichen VPN-Versuche aus dem Playbook „Service-Accounts“

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die erfolgreiche Anmeldeversuche von Service-Accounts über VPN nachverfolgen. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die in den erfolgreichen VPN-Versuchen aus dem Playbook „Service-Accounts“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, heben Sie den Security Incident in Aktion 1 auf hohe Priorität an, und benachrichtigen Sie sofort Ihren Vorgesetzten.
    2. Wenden Sie sich in Aktion 2 an den Besitzer des Service-Accounts, um die geschäftliche Begründung zu validieren.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Besitzer des Service-Accounts zu kontaktieren, um die geschäftliche Begründung zu validieren.
    3. Überprüfen Sie in Aktion 3, ob der Service-Account-Besitzer eine gültige geschäftliche Begründung angegeben hat.
      Abbildung : 1. Erfolgreiche VPN-Versuche aus dem Playbook „Service-Accounts – Corp/Cloud“
      Antwortaufgabe, um zu überprüfen, ob der Service-Account-Besitzer eine gültige geschäftliche Begründung angegeben hat.
    4. Führen Sie in Aktion 4 die folgenden Schritte aus, wenn der Service-Account-Besitzer eine gültige geschäftliche Begründung angegeben hat:
      1. Fügen Sie in Aktion 5 die Quell-IP bei Bedarf der Liste Zulassen hinzu.
      2. Dokumentieren Sie in Aktion 6 die bisherigen Ergebnisse.
      3. Initiieren Sie in Aktion 7 eine Überprüfung nach Incident.
        In Aktion 8 endet der Flow nach der Überprüfung nach dem Incident.
      Abbildung : 2. Verwendung der erfolgreichen VPN-Versuche aus dem Playbook „Service-Accounts – Corp/Cloud“
      Antwortaufgabe, um zu überprüfen, ob der Service-Account-Besitzer eine gültige geschäftliche Begründung angegeben hat.
    5. Führen Sie in Aktion 9 die folgenden Schritte aus, wenn der Service-Account-Besitzer keine gültige geschäftliche Begründung angegeben hat:
      1. Sperren Sie in Aktion 10 den Service-Account vorübergehend, während die Untersuchung stattfindet.
      2. Setzen Sie in Aktion 11 die Passwörter für den gefährdeten Service-Account zurück.
      3. Überprüfen Sie in Aktion 12 die Protokolle auf alle Arten von Aktivitäten, die der Account verwenden könnte.
        Achten Sie auf Authentifizierungsprotokolle wie Active Directory-Protokolle, Audit-Protokolle, Okta-Protokolle, Office 365-Protokolle usw.
      4. Suchen Sie in Aktion 13 nach den Computerzertifizierungsdetails, die zur Authentifizierung mit Unterstützung des IT-Support-Teams verwendet werden.
      5. Heben Sie in Aktion 14 die Eindämmung auf, und bringen Sie Systeme wieder auf Betriebsstandards zurück.
      6. Schließen Sie in Aktion 15 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.