실패한 로그인 설명서에 대한 플레이북
SIM 구성에 따라 사용자가 특정 로그인 시도에 실패하면 보안 인시던트가 생성됩니다.
이러한 실패한 로그인 시도는 가양성 또는 공격자가 사용자 전자 메일 계정에 대한 액세스 권한을 얻으려는 시도일 수 있습니다. 이러한 시나리오에서 실패한 로그인 수동 플레이북은 지침을 제공하고 실패한 로그인 보안 인시던트 조사를 최적화하는 데 도움이 될 수 있습니다.
필수 구성요소
필요한 역할:
- sn_si.admin
- flow_designer
스포크: 보안 운영 스포크(sn_sec_spoke) 설치
핵심 기능
실패한 로그인 플레이북에서는 보안 인시던트를 조사하기 위한 다음 기능을 다룹니다.
- 영향을 받는 사용자가 활성/비활성 사용자인지 확인합니다.
- 필터가 허용 목록 옵저버블
- 옵저버블을 보강합니다.
- 자동화된 위협 조회를 수행합니다.
- 실패한 로그인 시도를 확인하기 위해 사용자에게 자동 이메일을 보냅니다.
- 사용자 액세스를 조사하기 위해 분석가에게 작업을 할당합니다.
- 악의적인 옵저버블을 식별하고 IP 및 URL을 차단합니다.
- 사용자 암호를 재설정합니다.
- 보안 인시던트 상태 업데이트
- 보안 분석가에게 작업을 할당하여 인시던트 사후 검토를 처리합니다.
필요한 역량
- 위협 조회(바이러스 총, 하이브리드 분석)
- 옵저버블 보강(Whois, ReverseWhois)
- 사이팅 검색(Splunk, QRadar)
- 옵저버블 차단(CheckPoint, Palo Alto)
자세한 내용은 ServiceNow Store를 참조하십시오.
보안 분석가 경험
보안 위협을 단계별로 해결하는 방법을 이해하려면 을 참조하십시오 플레이북으로 보안 위협 해결.
Flow Designer 기능과 함께 실패한 로그인 플레이북 사용
시작
- sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
- 다음으로 이동 을 클릭하고 실패한 로그인 플레이북을 클릭합니다.
- 다음 플로우의 사본을 만들어 실패한 로그인 플레이북을 복사하고 필요한 수정을 수행합니다. (이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 사항을 변경하려는 경우에만 이 단계를 수행합니다.)
- 실패한 로그인 수동 플레이북 V1
- 실패한 로그인 - 사용자의 회신 구문 분석 및 응답 작업 업데이트 V1
- 요구 사항에 따라 필요한 수정을 수행합니다. (이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 사항을 변경하려는 경우에만 이 단계를 수행합니다.)
- Playbook을 활성화합니다.
- 기본 플로우를 활성화하여 기본 시스템에서 제공하는 플레이북을 사용합니다.
- 요구 사항에 따라 수정한 후 복사된 플로우를 활성화합니다.
다음 이미지는 실패한 로그인 수동 플레이북의 복사본을 보여줍니다. 아래 단계를 검토하여 플레이북의 다양한 작업을 이해하십시오.
이 Playbook은 다음 조건이 충족될 때 트리거되고 보안 인시던트와 연결됩니다.
- 범주는 실패한 로그인입니다.
- 영향을 받는 사용자가 한 명 이상 있음
- 보안 인시던트가 종결되거나 취소되지 않음
다음 단계에서는 실패한 로그인 수동 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우를 안내합니다.
- 플레이북이 실행되기 시작하면 1단계에서 실패한 로그인 범주의 보안 인시던트가 할당되었음을 보여주는 작업 메모와 함께 플레이북이 자동으로 업데이트됩니다.
- 2단계에서는 플레이북이 업데이트되고 분석 상태로 전환됩니다.
- 3단계에서 플레이북은 영향을 받는 사용자가 활성 사용자인지 비활성 사용자인지 확인합니다. 사용자가 비활성 상태인 경우 사용자 계정이 비활성 상태인 보안 인시던트에 작업 메모가 추가됩니다.
주:플로우의 3단계에서 플로우는 에서 사용할 수 있는 ServiceNowsn_si_incident 테이블에서 비활성 사용자를 확인합니다. 이 단계는 지침으로 제공되며 특정 환경에 맞게 수정해야 합니다. 이 기능을 사용하려면 사용자 환경에 Active Directory 통합을 설정하는 것이 좋습니다. Active Directory 통합을 확인하여 사용자 상태를 확인하고 응답에 따라 플레이북의 다음 단계를 설계할 수 있습니다.Active Directory 통합이 없는 경우 이 단계를 보안 분석가가 IT 팀과 협력하여 사용자를 차단하고 플레이북의 나머지 단계를 진행하는 수동 작업으로 대체합니다.
- 4단계에서는 보안 인시던트에 대한 옵저버블을 검색합니다.
- 5단계에서는 옵저버블을 식별합니다.
- 옵저버블을 찾을 수 없는 경우 6단계에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
- 7단계에서 옵저버블이 발견되면 허용되지 않는 옵저버블 목록이 식별됩니다.
- 하나 이상의 옵저버블이 허용되지 않는 목록인 경우 다음 단계가 수행됩니다.
- 8.1단계와 8.2단계가 실행됩니다. 옵저버블이 검색되고 자동 응답 작업이 시작됩니다.
- 자동화된 작업이 생성되면 8.3단계(8.3.1.1 및 8.3.2.1)가 실행되고 옵저버블 보강 및 위협 조회 통합이 실행됩니다. 이는 플레이북에 포함된 하위 플로우입니다.
- 8.4단계에서는 통합이 완료된 후 보안 인시던트 기록이 업데이트됩니다.
- 8.5단계에서는 다음 자동화 작업을 나타내기 위해 새 응답 작업이 생성됩니다.
- 8.6단계에서는 관찰 대상에 대해 사이팅 검색 통합이 실행됩니다.
- 사이팅 검색 하위 플로우가 완료된 후 8.7단계에서 보안 인시던트가 업데이트됩니다.
- 8.8단계에서는 옵저버블을 검사하여 악성인지 확인합니다.
- 옵저버블이 악성이 아니고 사용자 계정이 활성 상태인 경우 실패한 로그인 시도를 재확인하기 위해 사용자에게 자동 이메일이 전송됩니다. 옵저버블을 식별하고 보안 인시던트에 추가하기 위해 수동 응답 작업이 생성됩니다. 그런 다음 플레이북은 이 스테이지에서 종료됩니다.
- 옵저버블이 악성인 경우 다음 세 가지 응답 작업이 생성됩니다.
- 실패한 로그인 시도를 확인 (예 또는 아니요) 하기 위해 사용자에게 자동 이메일이 전송됩니다. 사용자가 '예'라고 응답한 경우:
- 보안 인시던트 상태가 포함으로 업데이트됩니다.
- 암호를 재설정하기 위해 사용자에게 자동화된 이메일이 전송됩니다.
- 암호 재설정 하위 플로우가 시작되고 작업이 완료되면 사용자에게 이메일이 전송됩니다.
주:암호 재설정 단계가 지침으로 제공됩니다. 플로우의 단계에서는 ServiceNow 시스템에서 사용자 계정의 암호를 재설정합니다. 그러나 암호를 재설정하는 프로세스는 환경에 따라 다를 수 있습니다. Active Directory 통합을 확인하여 사용자의 암호를 자동으로 재설정할 수 있습니다. Active Directory 통합이 없는 경우 이 단계를 보안 분석가가 해당 IT 팀과 협력하여 사용자 암호를 재설정하고 해당 작업을 완료한 후 플레이북의 나머지 단계를 진행하는 수동 작업으로 대체합니다. - 사용자가 아니요라고 응답하면 응답을 재확인하기 위해 자동 이메일이 사용자에게 전송됩니다. 보안 분석가가 수동으로 적절한 조치를 취해야 합니다.
- 사용자가 자동화된 이메일에 응답하지 않으면 보안 분석가가 보안 인시던트를 수동으로 업데이트하고 응답을 제공해야 합니다. 사용자 계정이 손상되었는지 확인하기 위해 수동 작업이 생성됩니다.
- 실패한 로그인 시도를 확인 (예 또는 아니요) 하기 위해 사용자에게 자동 이메일이 전송됩니다. 사용자가 '예'라고 응답한 경우:
- 8.1단계와 8.2단계가 실행됩니다. 옵저버블이 검색되고 자동 응답 작업이 시작됩니다.
- 8.10.3단계에서 보안 인시던트는 상태가 업데이트됨입니다.
- 8.10.4단계에서는 악성 IP 및 URL에 대한 차단 요청 만들기 기능 구현을 사용할 수 있는지 확인하기 위한 자동화된 작업이 만들어집니다. 역량 구현을 사용할 수 있는 경우 블록 요청 생성 하위 플로우가 실행됩니다. 이를 사용할 수 없는 경우 보안 인시던트가 업데이트되고 기능 구현을 사용할 수 없음을 나타내는 작업 메모가 게시됩니다.
- 9단계에서는 보안 인시던트가 업데이트되고 상태가 검토로 설정됩니다.
- 10단계에서는 사용자가 작업을 종결하기 전에 사후 인시던트 검토를 완료할 수 있는 응답 작업이 생성됩니다.