Playbook für das Handbuch für fehlgeschlagene Anmeldung

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 6 Minuten Lesedauer

    • Wenn ein Benutzer bestimmte fehlgeschlagene Anmeldeversuche unternimmt (entsprechend der SIM-Konfiguration), wird ein Security Incident erstellt.

    Diese fehlgeschlagenen Anmeldeversuche können entweder falsch positive Meldungen sein oder Versuche von Angreifern, sich Zugriff auf E-Mail-Accounts von Anwendern zu verschaffen. In solchen Szenarien kann das Playbook „Manuelle Fehlgeschlagene Anmeldung“ Anleitung bieten und dazu beitragen, die Untersuchung von Security Incidents mit fehlgeschlagener Anmeldung zu optimieren.

    Voraussetzungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Spoke: Security Operations-Spoke installieren (sn_sec_spoke)

    Wichtige Funktionen

    Das Playbook „Fehlgeschlagene Anmeldung“ umfasst die folgenden Funktionen zur Untersuchung von Security Incidents:

    1. Prüft, ob der betroffene Anwender ein aktiver/inaktiver Anwender ist
    2. Filtert erkennbare Elemente der zulässigen Liste
    3. Ergänzt die erkennbaren Elemente
    4. Führt eine automatisierte Bedrohungssuche durch.
    5. Sendet eine automatisierte E-Mail an den Anwender, um den fehlgeschlagenen Anmeldeversuch zu bestätigen.
    6. Weist dem Analysten Aufgaben zu, um den Benutzerzugriff zu untersuchen
    7. Identifiziert schädliche erkennbare Elemente und blockiert IPs und URLs.
    8. Setzt das Anwenderpasswort zurück.
    9. Aktualisiert den Status des Security Incidents
    10. Weist einem Sicherheitsanalysten Aufgaben für die Überprüfung nach Incidents zu.

    Erforderliche Fähigkeiten

    • Bedrohungssuche (Viren insgesamt, Hybrid-Analyse)
    • Anreicherung erkennbarer Elemente (Whist, ReverseWhist)
    • Sichtungssuche (Splunk, QRadar)
    • Blockierung erkennbarer Elemente (CheckPoint, Palo Alto)

    Weitere Informationen finden Sie im ServiceNow Store.

    Erfahrung als Sicherheitsanalyst

    Anweisungen zur schrittweisen Lösung von Sicherheitsbedrohungen finden Sie unter Beheben Sie Sicherheitsbedrohungen mit dem Playbook.

    Playbook für fehlgeschlagene Anmeldung mit Flow Designer-Fähigkeiten verwenden

    Erste Schritte
    1. Melden Sie sich als -Benutzer mit den Rollen sn_si.user und flow_designer an.
    2. Navigieren zu Flow Designer > Designer und klicken Sie auf das Playbook Fehlgeschlagene Anmeldung.
    3. Erstellen Sie eine Kopie der folgenden Flows, um das Playbook „Fehlgeschlagene Anmeldung“ zu kopieren und die erforderlichen Änderungen vorzunehmen. (Dies ist ein optionaler Schritt.) Führen Sie diesen Schritt nur aus, wenn Sie planen, den Flow anzupassen oder bestimmte Änderungen am Flow vorzunehmen.
      • Fehler bei der Anmeldung Manuelles Playbook V1
      • Fehlgeschlagene Anmeldung – Antwort des Anwenders analysieren und Antwortaufgabe aktualisieren V1
    4. Nehmen Sie die erforderlichen Änderungen entsprechend Ihrer Anforderung vor. (Dies ist ein optionaler Schritt.) Führen Sie diesen Schritt nur aus, wenn Sie planen, den Flow anzupassen oder bestimmte Änderungen am Flow vorzunehmen.
    5. Aktivieren Sie die Playbooks.
      • Aktivieren Sie den Haupt-Flow, um das mit dem Basissystem verfügbare Playbook zu verwenden.
      • Aktivieren Sie die kopierten Flows, nachdem Sie Änderungen entsprechend Ihren Anforderungen vorgenommen haben.

    Die folgende Abbildung zeigt eine Kopie des Playbooks „Manuelle Anmeldung fehlgeschlagen“. Überprüfen Sie die folgenden Schritte, um ein Verständnis der verschiedenen Aktionen im Playbook zu erhalten.


    Kopie des manuellen Playbooks für die fehlgeschlagene Anmeldung
    Dieses Playbook wird ausgelöst und dem Security Incident zugeordnet, wenn die folgenden Bedingungen erfüllt sind:
    • Kategorie ist „Fehlgeschlagene Anmeldung“.
    • Hat mindestens einen betroffenen Anwender
    • Security Incident wird nicht geschlossen oder abgebrochen

    Fehler beim Anmelden bei Playbook: Auslöser

    Die folgenden Schritte führen Sie durch die Aktionen, Aufgaben und Subflows, die im Playbook „Manuelle fehlgeschlagene Anmeldung“ verfügbar sind.

    1. Wenn die Ausführung des Playbooks in Schritt 1 gestartet wird, wird das Playbook automatisch mit einer Arbeitsnotiz aktualisiert, die zeigt, dass der Security Incident mit der Kategorie „Fehlgeschlagene Anmeldung“ zugewiesen wurde.
      Fehler bei der Anmeldung bei Playbook: Schritt 1
    2. In Schritt 2 wird das Playbook aktualisiert und in den Status Analyse versetzt.
    3. In Schritt 3 prüft das Playbook, ob der betroffene Anwender ein aktiver oder inaktiver Anwender ist. Wenn der Benutzer inaktiv ist, wird dem Security Incident eine Arbeitsnotiz hinzugefügt, dass der Benutzeraccount inaktiv ist.
      Fehler bei der Anmeldung bei Playbook: Schritt 3
      Hinweis:
      In Schritt 3 des Flows werden inaktive Benutzer in der Tabelle sn_si_incident geprüft, die unter ServiceNowverfügbar ist. Dieser Schritt wird als Leitfaden bereitgestellt und muss für Ihre spezifische Umgebung geändert werden. Wenn Sie diese Funktion verwenden möchten, empfehlen wir die Einrichtung einer Active Directory-Integration in Ihrer Umgebung. Sie können mit Ihrer Active Directory-Integration den Benutzerstatus ermitteln und abhängig von der Antwort die nächsten Schritte für Ihr Playbook entwerfen.

      Wenn Sie keine Active Directory-Integration haben, ersetzen Sie diesen Schritt durch eine manuelle Aufgabe für den Sicherheitsanalysten, um mit dem IT-Team zusammenzuarbeiten, um den Anwender zu blockieren und mit den restlichen Schritten im Playbook fortzufahren.

    4. In Schritt 4 werden die erkennbaren Elemente für den Security Incident abgerufen.
    5. In Schritt 5 werden die erkennbaren Elemente identifiziert.
    6. Wenn keine erkennbaren Elemente gefunden werden, wird in Schritt 6 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
      Fehler bei der Anmeldung bei Playbook: Schritt 6
    7. Wenn in Schritt 7 erkennbare Elemente gefunden werden, werden erkennbare Elemente identifiziert, die nicht in die Liste aufgenommen werden dürfen.
    8. Wenn mindestens eines der erkennbaren Elemente nicht in die Liste aufgenommen werden kann, werden die folgenden Schritte ausgeführt:
      1. Die Schritte 8.1 und 8.2 werden ausgeführt. Erkennbare Elemente werden abgerufen, und eine automatisierte Antwortaufgabe wird initiiert.
        Fehler bei der Anmeldung bei Playbook: Schritte 8.1 und 8.2
      2. Nachdem die automatisierte Aufgabe erstellt wurde, wird Schritt 8.3 (8.3.1.1 und 8.3.2.1) ausgeführt, und die Integrationen „Erkennbare Elemente anreichern“ und „Bedrohungssuche“ werden ausgeführt. Beachten Sie, dass dies Subflows sind, die in das Playbook aufgenommen wurden.
        Playbook-Flow fehlgeschlagen: Schritte 8.3.1.1 und 8.3.1.2
      3. In Schritt 8.4 wird der Security Incident-Datensatz aktualisiert, nachdem die Integrationen abgeschlossen wurden.
      4. In Schritt 8.5 wird eine neue Antwortaufgabe erstellt, um die nächste automatisierte Aufgabe anzugeben, die ausgeführt wird.
      5. In Schritt 8.6 wird die Integration der Sichtungssuche für die erkennbaren Elemente ausgeführt.
        Fehler bei der Anmeldung bei Playbook: Schritt 8.6
      6. Nachdem der Subflow „Sichtungssuche“ in Schritt 8.7 abgeschlossen wurde, wird der Security Incident aktualisiert.
      7. In Schritt 8.8 werden die erkennbaren Elemente auf Schädlichkeit überprüft.
      8. Wenn die erkennbaren Elemente nicht schädlich sind und der Benutzeraccount aktiv ist, wird eine automatisierte E-Mail an den Benutzer gesendet, um die fehlgeschlagenen Anmeldeversuche zu bestätigen. Es wird eine manuelle Antwortaufgabe erstellt, um die erkennbaren Elemente zu identifizieren und dem Security Incident hinzuzufügen. Das Playbook endet dann in dieser Phase.
      9. Wenn die erkennbaren Elemente schädlich sind, werden drei Antwortaufgaben erstellt:
        1. Es wird eine automatisierte E-Mail an den Anwender gesendet, um die fehlgeschlagenen Anmeldeversuche zu bestätigen (Ja oder Nein). Wenn der Benutzer mit „Ja“ antwortet:
          1. Der Status des Security Incidents wird auf „ Eindämmen“ aktualisiert.
          2. Es wird eine automatisierte E-Mail an den Anwender gesendet, in der er aufgefordert wird, das Passwort zurückzusetzen.
          3. Wenn die Aufgabe abgeschlossen wurde, wird der Subflow „Passwort zurücksetzen“ initiiert, und es wird eine E-Mail an den Benutzer gesendet.
          Hinweis:
          Der Schritt „Passwort zurücksetzen“ dient als Leitfaden. Die Schritte im Flow setzen das Passwort für den Account des Anwenders im ServiceNow-System zurück. Der Vorgang zum Zurücksetzen des Passworts kann jedoch je nach Umgebung unterschiedlich sein. Sie können Ihre Active Directory-Integration überprüfen, um das Passwort von Anwendern automatisch zurückzusetzen. Wenn Sie keine Active Directory-Integration haben, ersetzen Sie diesen Schritt durch eine manuelle Aufgabe für den Sicherheitsanalysten, um mit dem entsprechenden IT-Team zusammenzuarbeiten, um das Passwort der Anwender zurückzusetzen und nach Abschluss des jeweiligen mit den restlichen Schritten im Playbook fortzufahren Aufgabe
        2. Wenn der Benutzer mit Nein antwortet, wird eine automatisierte E-Mail an den Benutzer gesendet, um die Antwort zu bestätigen. Der Sicherheitsanalyst muss manuell entsprechende Maßnahmen ergreifen.
        3. Wenn der Benutzer nicht auf die automatisierte E-Mail antwortet, muss der Sicherheitsanalyst den Security Incident manuell aktualisieren und eine Antwort geben. Es wird eine manuelle Aufgabe erstellt, um zu überprüfen, ob der Anwenderaccount gefährdet wurde.

        Fehler bei der Anmeldung bei Playbook: Schritt 8.10.2
    9. In Schritt 8.10.3 wird der Status des Security Incident aktualisiert.
    10. In Schritt 8.10.4 wird eine automatisierte Aufgabe erstellt, um zu überprüfen, ob die Implementierung der Fähigkeit „Blockierungsanforderungen für schädliche IPs und URLs erstellen“ verfügbar ist. Wenn die Fähigkeitsimplementierung verfügbar ist, wird der Subflow „Blockanforderungen erstellen“ ausgeführt. Wenn nicht verfügbar ist, wird der Security Incident aktualisiert und eine Arbeitsnotiz wird veröffentlicht, um darauf hinzuweisen, dass die Fähigkeitsimplementierung nicht verfügbar ist.
    11. In Schritt 9 wird der Security Incident aktualisiert, und der Status wird auf Überprüfenfestgelegt.
    12. In Schritt 10 wird eine Antwortaufgabe erstellt, damit der Benutzer die Überprüfung nach dem Incident abschließen kann, bevor die Aufgabe geschlossen wird.