Utiliser le playbook de tentative d’accès aux comptes désactivés

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez ce playbook lorsqu’un employé dont le compte est résilié, désactivé ou séparé tente de se connecter avec ses informations d’identification. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook de tentatives d’accès aux comptes désactivés.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez si la tentative d’accès aux comptes désactivés a été effectuée par un utilisateur actif.
    2. Dans l’action 2, vérifiez si la tentative d’accès aux comptes désactivés a été effectuée par un employé actif.
      Figure 1. Tentative d’accès au playbook des comptes désactivés
      Tâche de réponse pour vérifier si la tentative d’accès aux comptes désactivés a été effectuée par un employé actif.
    3. Si la tentative d’accès aux comptes désactivés a été effectuée par un employé actif, procédez comme suit :
      1. Dans l’action 3, vérifiez si l’utilisateur avait un projet ou un scénario de test qui l’a amené à devenir un employé inactif.
      2. Dans l’action 4, si l’utilisateur n’a pas eu de projet ou de scénario de test qui l’a amené à devenir un employé inactif, travaillez avec l’équipe d’assistance informatique pour corriger l’erreur de configuration.
        Le flux se termine.
      3. Dans l’action 5, si l’utilisateur avait un projet ou un scénario de test qui l’a amené à devenir un employé inactif, procédez comme suit :
        1. Dans l’action 6, documentez les résultats obtenus jusqu’à présent.
        2. Dans l’action 7, lancez une révision post-incident.

          Dans l’action 8, après la revue post-incident, le flux se termine.

    4. Dans l’action 9, si la tentative d’accès au compte désactivé n’a pas été effectuée par un employé actif, effectuez les étapes suivantes :
      1. Dans l’action 10, vérifiez si l’utilisateur a réussi à se connecter.
      2. Dans l’action 11, vérifiez quand l’employé a été licencié.
      3. Dans l’action 12, examinez les événements survenus sur Splunk pour examiner les activités de l’utilisateur au cours de la période.
      4. Dans l’action 13, sur la base de l’enquête menée jusqu’à présent, déterminez si l’utilisateur a exfiltré des données.
      5. Dans l’action 14, si l’utilisateur n’a exfiltré aucune donnée, procédez comme suit :
        1. Dans l’action 15, collaborez avec l’équipe d’assistance informatique pour mettre fin à toutes les sessions actives et désactiver les comptes.
        2. Dans l’action 16, documentez les résultats obtenus jusqu’à présent.
        3. Dans l’action 17, lancez une révision post-incident.

        Dans l’action 18, après la revue post-incident, le flux se termine.

        Figure 2. Utilisation du playbook de tentative d’accès aux comptes désactivés
        Tâches de réponse si la tentative d’accès aux comptes désactivés n’a pas été effectuée par un employé actif
    5. Dans l’action 19, si l’utilisateur a exfiltré des données, procédez comme suit :
      1. Dans l’action 20, verrouillez l’utilisateur malveillant et détruisez toutes les sessions actives.
      2. Dans Action 21, collaborez avec l’équipe d’assistance informatique pour désactiver tous les comptes.
      3. Dans l’action 22, assurez-vous que les ressources sont restaurées à l’état normal et exemptes de toute activité malveillante.
        Vous pouvez recréer une image des ressources si nécessaire.
      4. Dans l’action 23, lever le confinement et ramener les systèmes aux normes opérationnelles.
      5. Dans l’action 24, terminez la revue post-incident avant de fermer la tâche.