서비스 계정 플레이북에서 성공한 VPN 시도 사용

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • 이 플레이북을 사용하여 VPN을 통해 서비스 계정에서 성공적인 로그인 시도를 추적하는 인시던트를 조사합니다. 다음 단계에서는 서비스 계정 플레이북의 성공적인 VPN 시도에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 검토 과정을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. Playbook이 트리거되고 실행이 시작되면 작업 1에서 보안 인시던트를 높은 우선순위로 올리고 관리자에게 즉시 알립니다.
    2. 작업 2에서는 서비스 계정의 소유자에게 연락하여 비즈니스 정당성을 확인합니다.
      제공된 이메일 템플릿을 사용하여 서비스 계정 소유자에게 연락하여 비즈니스 정당성을 확인할 수 있습니다.
    3. 작업 3에서 서비스 계정 소유자가 유효한 비즈니스 정당성을 제공했는지 확인합니다.
      그림 1. 서비스 계정에서 성공한 VPN 시도 - 회사/클라우드 플레이북
      서비스 계정 소유자가 유효한 비즈니스 정당성을 제공했는지 여부를 확인하기 위한 응답 작업입니다.
    4. 작업 4에서 서비스 계정 소유자가 유효한 비즈니스 정당성을 제공한 경우 다음 단계를 수행합니다.
      1. 작업 5에서 필요한 경우 소스 IP를 허용 목록에 추가합니다.
      2. 작업 6에서는 지금까지의 결과를 문서화합니다.
      3. 작업 7에서 사후 인시던트 검토를 시작합니다.
        작업 8에서는 사후 인시던트 검토 후 플로우가 종료됩니다.
      그림 2. 서비스 계정에서 성공한 VPN 시도 사용 - 회사/클라우드 플레이북
      서비스 계정 소유자가 유효한 비즈니스 정당성을 제공했는지 확인하기 위한 응답 작업입니다.
    5. 작업 9에서 서비스 계정 소유자가 유효한 비즈니스 정당성을 제공하지 않은 경우 다음 단계를 수행합니다.
      1. 작업 10에서 조사가 진행되는 동안 서비스 계정을 일시적으로 잠급니다.
      2. 작업 11에서 손상된 서비스 계정의 암호를 재설정합니다.
      3. 작업 12에서 계정에서 사용할 수 있는 모든 종류의 활동에 대한 로그를 확인합니다.
        Active Directory 로그, 감사 로그, Okta 로그, Office 365 로그 등과 같은 인증 로그를 찾습니다.
      4. 작업 13에서 IT 지원 팀의 지원을 받아 인증하는 데 사용되는 컴퓨터 인증 상세 정보를 찾습니다.
      5. 행동 14에서는 봉쇄를 해제하고 시스템을 운영 표준으로 되돌립니다.
      6. 작업 15에서 작업을 닫기 전에 사후 인시던트 검토를 완료합니다.