Verwenden Sie „Successful VPN Attempts“ (Erfolgreiche VPN-Versuche) aus dem Playbook „Servicekonten“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die erfolgreiche Anmeldeversuche von Servicekonten über VPN nachverfolgen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Successful VPN Attempts from the Service Accounts“ (Successful VPN Attempts from the Service Accounts) verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, erhöhen Sie in Aktion 1 den Security Incident auf eine hohe Priorität, und benachrichtigen Sie sofort Ihren Vorgesetzten.
    2. Wenden Sie sich in Aktion 2 an den Besitzer des Service-Accounts, um die geschäftliche Begründung zu validieren.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um sich an den Besitzer des Service-Accounts zu wenden und die geschäftliche Begründung zu validieren.
    3. Überprüfen Sie in Aktion 3, ob der Service-Account-Besitzer eine gültige geschäftliche Begründung angegeben hat.
      Abbildung : 1. Erfolgreiche VPN-Versuche aus dem Playbook „Servicekonten – Unternehmen/Cloud“.
      Antwortaufgabe, um zu überprüfen, ob der Service-Account-Besitzer eine gültige geschäftliche Begründung angegeben hat.
    4. Wenn der Besitzer des Servicekontos eine gültige geschäftliche Begründung angegeben hat, führen Sie in Aktion 4 die folgenden Schritte aus:
      1. Fügen Sie in Aktion 5 die Quell-IP der Allow-Liste hinzu, falls erforderlich.
      2. Dokumentieren Sie in Aktion 6 die bisherigen Ergebnisse.
      3. Initiieren Sie in Aktion 7 eine Überprüfung nach Incidents.
        In Aktion 8 endet der Flow nach der Überprüfung nach Incidents.
      Abbildung : 2. Verwenden der erfolgreichen VPN-Versuche aus dem Playbook „Servicekonten – Unternehmen/Cloud“.
      Antwortaufgabe, um zu überprüfen, ob der Service-Account-Besitzer eine gültige geschäftliche Begründung angegeben hat.
    5. Wenn der Besitzer des Servicekontos in Aktion 9 keine gültige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
      1. Sperren Sie in Aktion 10 das Servicekonto während der Untersuchung vorübergehend.
      2. Setzen Sie in Aktion 11 die Passwörter für das gefährdete Servicekonto zurück.
      3. Überprüfen Sie in Aktion 12 die Protokolle auf alle Arten von Aktivitäten, die der Account verwenden könnte.
        Achten Sie auf Authentifizierungsprotokolle wie Active Directory-Protokolle, Audit-Protokolle, Okta-Protokolle, Office 365-Protokolle usw.
      4. Suchen Sie in Aktion 13 nach den Computer-Zertifizierungsdetails, die zur Authentifizierung mit Unterstützung des IT-Supportteams verwendet werden.
      5. Heben Sie in Aktion 14 das Containment auf und bringen Sie die Systeme wieder in den Betriebszustand.
      6. Schließen Sie in Aktion 15 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.