Usar o playbook Tentativa de acesso a contas desativadas

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Use este playbook quando um funcionário cuja conta foi encerrada, desabilitada ou separada tentar fazer login com suas credenciais. As etapas a seguir fornecem instruções passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook Tentativa de acesso a contas desativadas.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, verifique se a tentativa de acesso às contas desativadas foi feita por um usuário ativo.
    2. Na Ação 2, verifique se a tentativa de acesso às contas desativadas foi feita por um funcionário ativo.
      Figura 1. Playbook de tentativa de acesso a contas desativadas
      Tarefa de resposta para verificar se a tentativa de acesso às contas desativadas foi feita por um funcionário ativo.
    3. Se a tentativa de acesso às contas desativadas tiver sido feita por um funcionário ativo, execute as seguintes etapas:
      1. Na Ação 3, verifique se o usuário tinha um projeto ou caso de teste que fez com que o usuário se tornasse um funcionário inativo.
      2. Na Ação 4, se o usuário não tiver um projeto ou caso de teste que tenha feito com que ele se tornasse um funcionário inativo, trabalhe com a equipe de suporte de TI para corrigir o erro de configuração.
        O fluxo termina.
      3. Na Ação 5, se o usuário tiver um projeto ou caso de teste que fez com que o usuário se tornasse um funcionário inativo, execute as seguintes etapas:
        1. Na Ação 6, documente as descobertas até o momento.
        2. Na Ação 7, inicie uma análise pós-incidente.

          Na Ação 8, após a análise pós-incidente, o fluxo termina.

    4. Na Ação 9, se a tentativa de acesso à conta desativada não tiver sido feita por um funcionário ativo, execute as seguintes etapas:
      1. Na Ação 10, verifique se o usuário teve logins bem-sucedidos.
      2. Na Ação 11, verifique quando o funcionário foi desligado.
      3. Na Ação 12, investigue os eventos no Splunk para examinar as atividades do usuário durante o período.
      4. Na Ação 13, com base na investigação até o momento, determine se o usuário exfiltrou algum dado.
      5. Na Ação 14, se o usuário não exfiltrar nenhum dado, execute as seguintes etapas:
        1. Na Ação 15, trabalhe com a equipe de suporte de TI para encerrar todas as sessões ativas e desabilitar as contas.
        2. Na Ação 16, documente as descobertas até o momento.
        3. Na Ação 17, inicie uma análise pós-incidente.

        Na Ação 18, após a análise pós-incidente, o fluxo termina.

        Figura 2. Como usar o playbook Tentativa de acesso a contas desativadas
        Tarefas de resposta se a tentativa de acesso às contas desativadas não tiver sido feita por um funcionário ativo
    5. Na Ação 19, se o usuário exfiltrar quaisquer dados, execute as seguintes etapas:
      1. Na Ação 20, bloqueie o usuário mal-intencionado e destrua todas as sessões ativas.
      2. Na Ação 21, trabalhe com a equipe de suporte de TI para desabilitar todas as contas.
      3. Na Ação 22, certifique-se de que os recursos sejam restaurados ao estado normal e livres de qualquer atividade mal-intencionada.
        Você pode recriar a imagem dos recursos, se necessário.
      4. Na Ação 23, remova a contenção e traga os sistemas de volta aos padrões operacionais.
      5. Na Ação 24, conclua a revisão pós-incidente antes de fechar a tarefa.