Verwenden Sie das Playbook „Zugriff auf deaktivierte Konten versucht“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, wenn ein Mitarbeiter, dessen Konto gekündigt, deaktiviert oder getrennt wurde, versucht, sich mit seinen Anmeldeinformationen anzumelden. Die folgenden Schritte geben Ihnen eine Vorstellung der Aktionen, Aufgaben und Subflows, die im Playbook „Zugriff auf deaktivierte Accounts“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, überprüfen Sie in Aktion 1, ob der versuchte Zugriff auf die deaktivierten Konten von einem aktiven Benutzer durchgeführt wurde.
    2. Überprüfen Sie in Aktion 2, ob der versuchte Zugriff auf die deaktivierten Accounts von einem aktiven Mitarbeiter durchgeführt wurde.
      Abbildung : 1. Playbook „Versuchter Zugriff auf deaktivierte Accounts“
      Antwortaufgabe, um zu überprüfen, ob der versuchte Zugriff auf die deaktivierten Accounts von einem aktiven Mitarbeiter durchgeführt wurde.
    3. Wenn der Zugriff auf die deaktivierten Accounts von einem aktiven Mitarbeiter versucht wurde, führen Sie die folgenden Schritte aus:
      1. Überprüfen Sie in Aktion 3, ob der Benutzer ein Projekt oder einen Testfall hatte, der dazu geführt hat, dass der Benutzer ein inaktiver Mitarbeiter wurde.
      2. Wenn der Benutzer in Aktion 4 kein Projekt oder keinen Testfall hatte, der dazu geführt hat, dass der Benutzer ein inaktiver Mitarbeiter wurde, arbeiten Sie mit dem IT-Supportteam zusammen, um die Fehlkonfiguration zu beheben.
        Der Flow endet.
      3. Wenn der Benutzer in Aktion 5 ein Projekt oder einen Testfall hatte, der dazu geführt hat, dass der Benutzer ein inaktiver Mitarbeiter wurde, führen Sie die folgenden Schritte aus:
        1. Dokumentieren Sie in Aktion 6 die bisherigen Ergebnisse.
        2. Initiieren Sie in Aktion 7 eine Überprüfung nach Incidents.

          In Aktion 8 endet der Flow nach der Überprüfung nach Incidents.

    4. Wenn der Zugriffsversuch auf den deaktivierten Account nicht von einem aktiven Mitarbeiter durchgeführt wurde, führen Sie in Aktion 9 die folgenden Schritte aus:
      1. Überprüfen Sie in Aktion 10, ob sich der Benutzer erfolgreich angemeldet hat.
      2. Überprüfen Sie in Aktion 11, wann für den Mitarbeiter ein Offboarding durchgeführt wurde.
      3. Untersuchen Sie in Aktion 12 die Events in Splunk, um die Aktivitäten des Benutzers während des Zeitraums zu untersuchen.
      4. Ermitteln Sie in Aktion 13 basierend auf der bisherigen Untersuchung, ob der Benutzer Daten exfiltriert hat.
      5. Wenn der Benutzer in Aktion 14 keine Daten extrahiert hat, führen Sie die folgenden Schritte aus:
        1. In Aktion 15: Arbeiten Sie mit dem IT-Supportteam zusammen, um alle aktiven Sitzungen zu beenden und die Konten zu deaktivieren.
        2. Dokumentieren Sie in Aktion 16 die bisherigen Ergebnisse.
        3. Initiieren Sie in Aktion 17 eine Überprüfung nach Incidents.

        In Aktion 18 endet der Flow nach der Überprüfung nach dem Incident.

        Abbildung : 2. Verwenden des Playbooks „Zugriff auf deaktivierte Konten“
        Antwortaufgaben, wenn der Zugriff auf die deaktivierten Accounts nicht von einem aktiven Mitarbeiter versucht wurde
    5. Wenn der Benutzer in Aktion 19 Daten exfiltriert hat, führen Sie die folgenden Schritte aus:
      1. Sperren Sie in Aktion 20 den böswilligen Benutzer aus, und löschen Sie alle aktiven Sitzungen.
      2. Arbeiten Sie in Aktion 21 mit dem IT-Supportteam zusammen, um alle Konten zu deaktivieren.
      3. Stellen Sie in Aktion 22 sicher, dass die Ressourcen in den Normalzustand zurückversetzt und frei von böswilligen Aktivitäten sind.
        Sie können bei Bedarf ein neues Image der Ressourcen erstellen.
      4. In Aktion 23 heben Sie das Containment auf und bringen die Systeme wieder in den Betriebszustand.
      5. Schließen Sie in Aktion 24 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.