액세스 시도된 비활성화된 계정 플레이북 설정

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 02일
  • 읽기1분

    • 다음 단계를 사용하여 액세스 시도한 비활성화된 계정 플레이북을 설정합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    sn_sec_spoke(Security Operations Spoke)를 설치했는지 확인합니다.

    프로시저

    1. sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
    2. 다음으로 이동 모두 > 플로우 디자이너 을 클릭하고 액세스 시도된 비활성화된 계정 플레이북을 선택합니다.
    3. 액세스 시도된 비활성화된 계정 Playbook 플로우의 사본을 생성하고 필요한 수정을 수행합니다.

      Playbook 플로우의 사본을 생성하려면 추가 작업 메뉴 아이콘을 선택하고 플로우 복사를 선택합니다. 플로우를 사용자 지정하거나 특정 변경 사항을 적용하려는 경우에만 이 단계를 수행합니다.

      그림 1. 비활성화된 계정 Playbook에 대한 접근 시도
      비활성화된 계정에 대한 액세스 시도 Playbook의 개요입니다.
    4. Playbook을 활성화합니다.
      1. 기본 시스템에서 사용할 수 있는 Playbook을 사용하도록 메인 플로우를 활성화합니다.
      2. 필요한 변경 사항을 적용한 후 복사한 플로우를 활성화합니다.
    5. 트리거 조건: 이 Playbook은 필수 조건에 따라 보안 인시던트가 생성되거나 업데이트될 때 트리거됩니다.

      예를 들어 범주내부자 위반인 경우

      그림 2. 비활성화된 계정에 대한 액세스 시도됨 Playbook 트리거 조건
      비활성화된 계정 Playbook에 대한 액세스 시도에 대한 트리거 조건입니다.