Verwenden Sie die erfolgreichen VPN-Versuche aus dem Playbook „Servicekonten“

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die erfolgreiche Anmeldeversuche von Service-Accounts über VPN nachverfolgen. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die in den erfolgreichen VPN-Versuchen im Playbook „Servicekonten“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • Flow_Designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, setzen Sie den Security Incident in Aktion 1 auf hohe Priorität, und benachrichtigen Sie sofort Ihren Vorgesetzten.
    2. Wenden Sie sich in Aktion 2 an den Besitzer des Service-Accounts, um die geschäftliche Begründung zu validieren.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Besitzer des Service-Accounts zu kontaktieren, um die geschäftliche Begründung zu validieren.
    3. Überprüfen Sie in Aktion 3, ob der Besitzer des Service-Accounts eine gültige geschäftliche Begründung angegeben hat.
      Abbildung : 1. Erfolgreiche VPN-Versuche aus dem Playbook „Serviceaccounts – Unternehmen/Cloud“
      Antwortaufgabe, um zu überprüfen, ob der Besitzer des Service-Accounts eine gültige geschäftliche Begründung angegeben hat.
    4. Führen Sie in Aktion 4 die folgenden Schritte aus, wenn der Besitzer des Service-Accounts eine gültige geschäftliche Begründung angegeben hat:
      1. Fügen Sie in Aktion 5 die Quell-IP bei Bedarf der Allow-Liste hinzu.
      2. Dokumentieren Sie in Aktion 6 die bisherigen Ergebnisse.
      3. Initiieren Sie in Aktion 7 eine Überprüfung nach Incident.
        In Aktion 8 endet der Flow nach der Überprüfung des Incidents.
      Abbildung : 2. Verwendung der erfolgreichen VPN-Versuche aus dem Playbook „Servicekonten – Unternehmen/Cloud“
      Antwortaufgabe, um zu überprüfen, ob der Besitzer des Service-Accounts eine gültige geschäftliche Begründung angegeben hat.
    5. Führen Sie in Aktion 9 die folgenden Schritte aus, wenn der Besitzer des Service-Accounts keine gültige geschäftliche Begründung angegeben hat:
      1. Sperren Sie in Aktion 10 den Service-Account vorübergehend, während die Untersuchung stattfindet.
      2. Setzen Sie in Aktion 11 die Passwörter für den gefährdeten Service-Account zurück.
      3. Überprüfen Sie in Aktion 12 die Protokolle für alle Arten von Aktivitäten, die der Account verwenden könnte.
        Achten Sie auf Authentifizierungsprotokolle wie Active Directory-Protokolle, Auditprotokolle, Okta-Protokolle, Office 365-Protokolle usw.
      4. Suchen Sie in Aktion 13 nach den Rechnerzertifizierungsdetails, die zur Authentifizierung mit Unterstützung des IT-Supportteams verwendet werden.
      5. Heben Sie in Aktion 14 die Eindämmung auf, und bringen Sie Systeme wieder auf Betriebsstandards zurück.
      6. Schließen Sie in Aktion 15 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.