Playbook für fehlgeschlagene Anmeldung – manuell

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Wenn ein Benutzer (je nach SIM-Konfiguration) bestimmte erfolglose Anmeldeversuche unternimmt, wird ein Security Incident erstellt.

    Bei diesen erfolglosen Anmeldeversuchen kann es sich entweder um Falschmeldungen oder um Versuche von Angreifern handeln, sich Zugriff auf die E-Mail-Accounts der Benutzer zu verschaffen. In solchen Szenarien kann das Playbook „Manuelles Failed Login“ als Anleitung dienen und dazu beitragen, die Untersuchung von Security Incidents mit fehlgeschlagenen Anmeldungen zu optimieren.

    Voraussetzungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Spoke: Security Operations-Spoke installieren (sn_sec_spoke)

    Wichtige Funktionen

    Das Playbook „Fehlgeschlagene Anmeldung“ umfasst die folgenden Funktionen zur Untersuchung von Security Incidents:

    1. Überprüft, ob der betroffene Anwender ein aktiver/inaktiver Anwender ist
    2. Filter zulässige Liste erkennbarer Elemente
    3. Reichert die erkennbaren Elemente an
    4. Führt eine automatisierte Bedrohungssuche durch.
    5. Sendet eine automatisierte E-Mail an den Anwender, um den fehlgeschlagenen Anmeldeversuch zu bestätigen.
    6. Weist Analysten Aufgaben zu, um den Benutzerzugriff zu untersuchen
    7. Identifiziert schädliche erkennbare Elemente und blockiert IPs und URLs.
    8. Setzt das Anwenderpasswort zurück.
    9. Aktualisiert den Status des Security Incident
    10. Weist einem Sicherheitsanalysten Aufgaben zur Überprüfung nach Incidents zu.

    Erforderliche Fähigkeiten

    • Bedrohungssuche (Viren gesamt, Hybridanalyse)
    • Ergänzung erkennbarer Elemente (Whhois, ReverseWhhois)
    • Sichtungssuche (Splunk, QRadar)
    • Blockierung erkennbarer Elemente (CheckPoint, Palo Alto)

    Weitere Informationen finden Sie im ServiceNow Store.

    Erfahrung von Sicherheitsanalysten

    Informationen zur schrittweisen Lösung von Sicherheitsbedrohungen finden Sie unter Beheben Sie Sicherheitsbedrohungen mit dem Playbook.

    Verwenden des Playbooks „Fehlgeschlagene Anmeldung“ mit Flow Designer-Fähigkeiten

    Erste Schritte
    1. Melden Sie sich als Benutzer mit den Rollen sn_si.user und flow_designer an.
    2. Navigieren zu Flow Designer > Designer und klicken Sie auf das Playbook Fehlgeschlagene Anmeldung.
    3. Erstellen Sie eine Kopie der folgenden Flows, um das Playbook für fehlgeschlagene Anmeldungen zu kopieren und die erforderlichen Änderungen vorzunehmen. (Dies ist ein optionaler Schritt.) Führen Sie diesen Schritt nur aus, wenn Sie den Flow anpassen oder bestimmte Änderungen daran vornehmen möchten.
      • Manuelles Playbook V1 bei fehlgeschlagener Anmeldung
      • Fehlgeschlagene Anmeldung – Antwort des Anwenders analysieren und Antwortaufgabe aktualisieren V1
    4. Nehmen Sie die erforderlichen Änderungen gemäß Ihren Anforderungen vor. (Dies ist ein optionaler Schritt.) Führen Sie diesen Schritt nur aus, wenn Sie den Flow anpassen oder bestimmte Änderungen daran vornehmen möchten.
    5. Aktivieren Sie die Playbooks.
      • Aktivieren Sie den Haupt-Flow, um das mit dem Basissystem verfügbare Playbook zu verwenden.
      • Aktivieren Sie die kopierten Flows, nachdem Sie Änderungen gemäß Ihren Anforderungen vorgenommen haben.

    Die folgende Abbildung zeigt eine Kopie des Playbooks bei fehlgeschlagener Anmeldung. Überprüfen Sie die folgenden Schritte, um sich mit den verschiedenen Aktionen im Playbook vertraut zu machen.


    Kopie des manuellen Playbooks mit fehlgeschlagener Anmeldung
    Dieses Playbook wird ausgelöst und dem Security Incident zugeordnet, wenn die folgenden Bedingungen erfüllt sind:
    • Kategorie ist „Fehlgeschlagene Anmeldung“.
    • Hat einen oder mehrere betroffene Benutzer
    • Security Incident wurde nicht geschlossen oder abgebrochen

    Playbook mit fehlgeschlagener Anmeldung: Auslöser

    Die folgenden Schritte führen Sie durch die Aktionen, Aufgaben und Subflows, die im Playbook „Failed Login Manuell“ verfügbar sind.

    1. Wenn die Ausführung des Playbooks in Schritt 1 gestartet wird, wird das Playbook automatisch mit einer Arbeitsnotiz aktualisiert, aus der hervorgeht, dass der Security Incident mit der Kategorie „Fehlgeschlagene Anmeldung“ zugewiesen wurde.
      Playbook mit fehlgeschlagener Anmeldung: Schritt 1
    2. In Schritt 2 wird das Playbook aktualisiert und in den Status „Analyse“ verschoben.
    3. In Schritt 3 überprüft das Playbook, ob der betroffene Benutzer ein aktiver oder inaktiver Benutzer ist. Wenn der Benutzer inaktiv ist, wird dem Security Incident eine Arbeitsnotiz hinzugefügt, die besagt, dass der Benutzeraccount inaktiv ist.
      Playbook mit fehlgeschlagener Anmeldung: Schritt 3
      Hinweis:
      In Schritt 3 des Flows werden inaktive Benutzer in der Tabelle „ sn_si_incident “ überprüft, die in ServiceNowverfügbar ist. Dieser Schritt wird als Leitlinie bereitgestellt und muss für Ihre spezifische Umgebung geändert werden. Wenn Sie diese Funktionalität verwenden möchten, empfehlen wir die Einrichtung einer Active Directory-Integration in Ihrer Umgebung. Sie können bei Ihrer Active Directory-Integration nach dem Benutzerstatus suchen und abhängig von der Antwort die nächsten Schritte für Ihr Playbook entwerfen.

      Wenn Sie keine Active Directory-Integration haben, ersetzen Sie diesen Schritt durch eine manuelle Aufgabe für den Sicherheitsanalysten, der mit dem IT-Team zusammenarbeitet, um den Benutzer zu blockieren und mit den restlichen Schritten im Playbook fortzufahren.

    4. In Schritt 4 werden die erkennbaren Elemente für den Security Incident abgerufen.
    5. In Schritt 5 werden die erkennbaren Elemente identifiziert.
    6. Wenn keine erkennbaren Elemente gefunden werden, wird in Schritt 6 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
      Playbook mit fehlgeschlagener Anmeldung: Schritt 6
    7. Wenn in Schritt 7 erkennbare Elemente gefunden werden, werden die nicht zulässigen erkennbaren Elemente identifiziert.
    8. Wenn mindestens eines der erkennbaren Elemente in der Liste nicht zulässig ist, werden die folgenden Schritte ausgeführt:
      1. Die Schritte 8.1 und 8.2 werden ausgeführt. Erkennbare Elemente werden abgerufen und eine automatisierte Antwortaufgabe wird initiiert.
        Playbook bei fehlgeschlagener Anmeldung: Schritte 8.1 und 8.2
      2. Nachdem die automatisierte Aufgabe erstellt wurde, wird Schritt 8.3 (8.3.1.1 und 8.3.2.1) ausgeführt und die Integrationen „Erkennbare Elemente anreichern“ und „Bedrohungssuche“ werden ausgeführt. Beachten Sie, dass dies Subflows sind, die in das Playbook aufgenommen wurden.
        Playbook-Flow fehlgeschlagen: Schritte 8.3.1.1 und 8.3.1.2
      3. In Schritt 8.4 wird der Security Incident-Datensatz nach Abschluss der Integrationen aktualisiert.
      4. In Schritt 8.5 wird eine neue Antwortaufgabe erstellt, um die nächste automatisierte Aufgabe anzugeben, die ausgeführt wird.
      5. In Schritt 8.6 wird die Integration der Sichtungssuche für die erkennbaren Elemente ausgeführt.
        Playbook bei fehlgeschlagener Anmeldung: Schritt 8.6
      6. Nachdem der Subflow „Sichtungssuche“ in Schritt 8.7 abgeschlossen wurde, wird der Security Incident aktualisiert.
      7. In Schritt 8.8 werden die erkennbaren Elemente daraufhin überprüft, ob sie schädlich sind.
      8. Wenn die erkennbaren Elemente nicht böswillig sind und das Benutzerkonto aktiv ist, wird eine automatisierte E-Mail an den Benutzer gesendet, um die nicht erfolgreichen Anmeldeversuche zu bestätigen. Eine manuelle Antwortaufgabe wird erstellt, um die erkennbaren Elemente zu identifizieren und dem Security Incident hinzuzufügen. Das Playbook endet dann in dieser Phase.
      9. Wenn die erkennbaren Elemente schädlich sind, werden drei Antwortaufgaben erstellt:
        1. Eine automatisierte E-Mail wird an den Benutzer gesendet, um die nicht erfolgreichen Anmeldeversuche zu bestätigen (Ja oder Nein). Wenn der Benutzer mit Ja antwortet:
          1. Der Status des Security Incident wird auf Containaktualisiert.
          2. Eine automatisierte E-Mail wird an den Benutzer gesendet, um das Passwort zurückzusetzen.
          3. Der Subflow „Passwort zurücksetzen“ wird initiiert und eine E-Mail wird an den Benutzer gesendet, wenn die Aufgabe abgeschlossen wurde.
          Hinweis:
          Der Schritt „Passwort zurücksetzen“ wird als Leitlinie bereitgestellt. Die Schritte im Flow setzen das Passwort für den Account des Benutzers im ServiceNow-System zurück. Der Vorgang zum Zurücksetzen des Passworts kann jedoch je nach Umgebung unterschiedlich sein. Sie können bei Ihrer Active Directory-Integration überprüfen, ob das Passwort von Benutzern automatisch zurückgesetzt werden soll. Wenn Sie keine Active Directory-Integration haben, ersetzen Sie diesen Schritt durch eine manuelle Aufgabe für den Sicherheitsanalysten, der mit dem jeweiligen IT-Team zusammenarbeitet, um das Passwort des Benutzers zurückzusetzen und nach Abschluss der jeweiligen mit den restlichen Schritten im Playbook fortzufahren Aufgabe.
        2. Wenn der Benutzer mit Nein antwortet, wird eine automatisierte E-Mail an den Benutzer gesendet, um die Antwort erneut zu bestätigen. Der Sicherheitsanalyst muss die entsprechenden Maßnahmen manuell ergreifen.
        3. Wenn der Benutzer nicht auf die automatisierte E-Mail antwortet, muss der Sicherheitsanalyst den Security Incident manuell aktualisieren und eine Antwort geben. Eine manuelle Aufgabe wird erstellt, um zu überprüfen, ob das Benutzerkonto gefährdet wurde.

        Playbook mit fehlgeschlagener Anmeldung: Schritt 8.10.2
    9. In Schritt 8.10.3 wird der Status des Security Incident aktualisiert.
    10. In Schritt 8.10.4 wird eine automatisierte Aufgabe erstellt, um zu überprüfen, ob die Implementierung der Fähigkeit Blockanforderungen für schädliche IPs und URLs erstellen verfügbar ist. Wenn die Fähigkeitsimplementierung verfügbar ist, wird der Subflow Blockanforderungen erstellen ausgeführt. Wenn diese Option nicht verfügbar ist, wird der Security Incident aktualisiert und eine Arbeitsnotiz veröffentlicht, um anzugeben, dass die Fähigkeitsimplementierung nicht verfügbar ist.
    11. In Schritt 9 wird der Security Incident aktualisiert, und der Status wird auf Überprüfenfestgelegt.
    12. In Schritt 10 wird eine Antwortaufgabe erstellt, damit der Benutzer die Überprüfung nach dem Incident abschließen kann, bevor die Aufgabe geschlossen wird.