실패한 로그인에 대한 플레이북 수동
사용자가 SIM 구성에 따라 특정 로그인 시도를 실패하면 보안 인시던트가 생성됩니다.
이러한 실패한 로그인 시도는 가양성이거나 공격자가 사용자 이메일 계정에 대한 액세스 권한을 얻으려는 시도일 수 있습니다. 이러한 시나리오에서 실패한 로그인 수동 플레이북은 지침을 제공하고 실패한 로그인 보안 인시던트의 조사를 최적화하는 데 도움이 될 수 있습니다.
필수 구성요소
필요한 역할:
- sn_si.admin
- flow_designer
스포크: Security Operations 스포크 설치(sn_sec_spoke)
핵심 기능
실패한 로그인 플레이북은 보안 인시던트를 조사하기 위한 다음 역량을 다룹니다.
- 영향을 받는 사용자가 활성/비활성 사용자인지 확인
- 필터 허용 목록 옵저버블
- 옵저버블 보강
- 자동화된 위협 조회를 수행합니다.
- 실패한 로그인 시도를 확인하기 위해 사용자에게 자동화된 이메일을 보냅니다.
- 사용자 액세스를 조사하기 위해 분석가에게 작업을 할당합니다.
- 악의적인 옵저버블을 식별하고 IP 및 URL을 차단합니다.
- 사용자 암호를 재설정합니다.
- 보안 인시던트 상태 업데이트
- 사후 인시던트 검토를 처리할 보안 분석가에게 작업을 할당합니다.
필요한 역량
- 위협 조회(바이러스 합계, 하이브리드 분석)
- 옵저버블 보강(Whois, ReverseWhois)
- 사이팅 검색(Splunk, QRadar)
- 옵저버블 차단(CheckPoint, Palo Alto)
자세한 내용은 ServiceNow Store를 참조하십시오.
보안 분석가 경험
보안 위협을 단계별로 해결하는 방법을 이해하려면 을 참조하십시오 플레이북으로 보안 위협 해결.
Flow Designer 기능과 함께 실패한 로그인 플레이북 사용
시작
- sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
- 다음으로 이동 을 클릭하고 로그인 실패 플레이북을 클릭합니다.
- 다음 플로우의 사본을 만들어 실패한 로그인 플레이북을 복사하고 필요에 따라 수정합니다. 이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경을 수행하려는 경우에만 이 단계를 수행합니다.)
- 실패한 로그인 수동 플레이북 V1
- 로그인 실패 - 사용자의 회신 구문 분석 및 응답 업데이트 작업 V1
- 요구 사항에 따라 필요한 수정을 수행합니다. 이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경을 수행하려는 경우에만 이 단계를 수행합니다.)
- 플레이북을 활성화합니다.
- 기본 시스템에서 사용할 수 있는 플레이북을 사용하려면 메인 플로우를 활성화합니다.
- 요구 사항에 따라 수정한 후 복사된 플로우를 활성화합니다.
다음 이미지는 실패한 로그인 수동 플레이북의 복사본을 보여줍니다. 아래 단계를 검토하여 플레이북의 다양한 작업을 파악합니다.
다음 조건이 충족되면 이 플레이북이 트리거되고 보안 인시던트와 연결됩니다.
- 범주가 실패한 로그인임
- 영향을 받는 사용자가 한 명 이상 있음
- 보안 인시던트가 종결되거나 취소되지 않음
다음 단계에서는 실패한 로그인 수동 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우를 안내합니다.
- 플레이북 실행이 시작되면 1단계에서 실패한 로그인 범주가 할당된 보안 인시던트를 보여주는 작업 메모로 플레이북이 자동으로 업데이트됩니다.
- 2단계에서는 플레이북이 업데이트되고 분석 상태로 이동됩니다.
- 3단계에서 플레이북은 영향을 받는 사용자가 활성 사용자인지 비활성 사용자인지 확인합니다. 사용자가 비활성 상태인 경우 사용자 계정이 비활성 상태인 보안 인시던트에 작업 메모가 추가됩니다.
주:플로우의 3단계에서 플로우는 에서 ServiceNow사용할 수 있는 sn_si_incident 테이블에서 비활성 사용자를 확인합니다. 이 단계는 지침으로 제공되며 특정 환경에 맞게 수정해야 합니다. 이 기능을 사용하려면 환경에 Active Directory 통합을 설정하는 것이 좋습니다. Active Directory 통합을 확인하여 사용자 상태를 찾고 응답에 따라 플레이북의 다음 단계를 설계할 수 있습니다.Active Directory 통합이 없는 경우 보안 분석가가 IT 팀과 협력하여 사용자를 차단하고 플레이북의 나머지 단계를 진행할 수 있도록 이 단계를 수동 작업으로 대체합니다.
- 4단계에서는 보안 인시던트에 대한 옵저버블이 검색됩니다.
- 5단계에서는 옵저버블이 식별됩니다.
- 옵저버블을 찾을 수 없는 경우 6단계에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
- 7단계에서 옵저버블이 발견되면 허용되지 않는 옵저버블이 식별됩니다.
- 하나 이상의 옵저버블이 허용 목록에 없는 경우 다음 단계가 수행됩니다.
- 8.1단계와 8.2단계가 실행됩니다. 옵저버블이 검색되고 자동 응답 작업이 시작됩니다.
- 자동화된 작업이 생성되면 8.3단계(8.3.1.1 및 8.3.2.1)가 실행되고 옵저버블 보강 및 위협 조회 통합이 실행됩니다. 이는 플레이북에 포함된 하위 플로우입니다.
- 8.4단계에서는 통합이 완료된 후 보안 인시던트 기록이 업데이트됩니다.
- 8.5단계에서는 수행될 다음 자동화 작업을 나타내기 위해 새 응답 작업이 생성됩니다.
- 8.6단계에서는 옵저버블에서 사이팅 검색 통합이 실행됩니다.
- 사이팅 검색 하위 플로우가 완료된 후 8.7단계에서 보안 인시던트가 업데이트됩니다.
- 8.8단계에서는 옵저버블을 검사하여 옵저버블이 악성인지 확인합니다.
- 옵저버블이 악성이 아니고 사용자 계정이 활성 상태인 경우 실패한 로그인 시도를 다시 확인하기 위해 자동화된 이메일이 사용자에게 전송됩니다. 옵저버블을 식별하고 보안 인시던트에 추가하기 위한 수동 응답 작업이 생성됩니다. 플레이북은 이 단계에서 종료됩니다.
- 옵저버블이 악성인 경우 3개의 응답 작업이 생성됩니다.
- 실패한 로그인 시도를 확인 (예 또는 아니요) 하기 위해 자동화된 이메일이 사용자에게 전송됩니다. 사용자가 예라고 응답하는 경우:
- 보안 인시던트 상태가 포함으로 업데이트됩니다.
- 암호를 재설정하기 위해 자동화된 이메일이 사용자에게 전송됩니다.
- 암호 재설정 하위 플로우가 시작되고 작업이 완료되면 사용자에게 이메일이 전송됩니다.
주:암호 재설정 단계는 지침으로 제공됩니다. 플로우의 단계는 ServiceNow 시스템에서 사용자 계정의 암호를 재설정합니다. 그러나 암호를 재설정하는 프로세스는 환경에 따라 다를 수 있습니다. Active Directory 통합을 확인하여 사용자의 암호를 자동으로 재설정할 수 있습니다. Active Directory 통합이 없는 경우 보안 분석가가 해당 IT 팀과 협력하여 사용자 암호를 재설정하고 해당 작업을 완료한 후 플레이북의 나머지 단계를 진행할 수 있도록 이 단계를 수동 작업으로 대체합니다. - 사용자가 아니요라고 응답하면 응답을 다시 확인하기 위해 자동화된 전자 메일이 사용자에게 전송됩니다. 보안 분석가는 적절한 작업을 수동으로 수행해야 합니다.
- 사용자가 자동화된 이메일에 응답하지 않으면 보안 분석가가 보안 인시던트를 수동으로 업데이트하고 응답을 제공해야 합니다. 사용자 계정이 손상되었는지 확인하기 위한 수동 작업이 생성됩니다.
- 실패한 로그인 시도를 확인 (예 또는 아니요) 하기 위해 자동화된 이메일이 사용자에게 전송됩니다. 사용자가 예라고 응답하는 경우:
- 8.1단계와 8.2단계가 실행됩니다. 옵저버블이 검색되고 자동 응답 작업이 시작됩니다.
- 8.10.3단계에서 보안 인시던트 상태가 업데이트됩니다.
- 8.10.4단계에서는 악의적인 IP 및 URL에 대한 블록 요청 생성 기능 구현을 사용할 수 있는지 확인하기 위해 자동화된 작업이 생성됩니다. 역량 구현을 사용할 수 있는 경우 블록 요청 생성 하위 플로우가 실행됩니다. 이를 사용할 수 없는 경우 보안 인시던트가 업데이트되고 기능 구현을 사용할 수 없음을 나타내는 작업 메모가 게시됩니다.
- 9단계에서는 보안 인시던트가 업데이트되고 상태가 검토로 설정됩니다.
- 10단계에서는 사용자가 작업을 닫기 전에 사후 인시던트 검토를 완료할 수 있도록 응답 작업이 생성됩니다.