資格情報スニッフィング Playbook の使用

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む1読むのに数分

    • 次の手順は、資格情報スニッフィング Playbook で利用可能なアクション、タスク、およびサブフローのウォークスルーを示しています。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 で次のアラートの詳細を確認する必要があります。
      • インスタンス
      • セッション ID
      • トランザクション ID
      • _raw:スクリプト全体を提供します。
        スクリプト例: 
        Var pass= request.getParameter(“user_password”);
Gs.log(pass);
    2. ステップ 2 では、これまでに収集されたデータに基づいて、このアラートにエンドユーザーチケットが必要かどうかを確認する必要があります。
    3. ステップ 3 で、アラートがエンドユーザーチケットを必要としない場合、ステップ 4 では、これまでの結果を文書化するための応答タスクを作成する必要があります。
      フローが終了します。
      図 : 1. 資格情報スニッフィング Playbook
      このアラートが認証情報スニッフィングの可能性のあるケースであるかどうかを調査するための応答タスク
    4. ステップ 5 で、アラートにエンドユーザーチケットが必要な場合は、次のステップを実行します。
      1. ステップ 6 では、アラートにエンド ユーザー チケットが必要であることをエンド ユーザーに通知する必要があります。
      2. 手順 7 では、過去数日間のユーザーの応答とユーザーのセッションに基づいて、さらに調査する必要があります。
      3. ステップ 8 では、ユーザーのロックアウトや、どのユーザーのパスワードが読み取られた可能性があるかの検出など、インスタンスの修復手順についてピアと話し合う必要があります。
      4. ステップ 9 では、インシデントまたはチケットを生成して、侵害されたユーザーの資格情報をリセットする必要があります。
      5. ステップ 10 では、封じ込めを解除し、システムを運用標準に戻す必要があります
        フローが終了します。
    5. ステップ 11 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。