Richten Sie das Playbook für versuchten Zugriff mit deaktiviertem Account ein

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Führen Sie die folgenden Schritte aus, um das Playbook für versuchten Zugriff mit deaktiviertem Account einzurichten.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Security Operations Spoke (sn_sec_spoke) installiert ist.

    Prozedur

    1. Melden Sie sich als -Benutzer mit den Rollen sn_si.user und flow_designer an.
    2. Navigieren zu Alle > Flow Designer und wählen Sie das Playbook „Versuchter Zugriff – deaktivierter Account “ aus.
    3. Wahlweise: Erstellen Sie eine Kopie des Playbook-Flows „Versuchter Zugriff – deaktivierter Account“, und nehmen Sie die erforderlichen Änderungen vor.

      Um eine Kopie des Flows des Playbooks zu erstellen, wählen Sie das Menüsymbol Weitere Aktionen und dann Flow kopierenaus. Führen Sie diesen Schritt nur aus, wenn Sie den Flow anpassen oder bestimmte Änderungen vornehmen möchten.

      Abbildung : 1. Versuchter Zugriff auf Playbook für deaktivierte Accounts
      Übersicht über das Playbook für versuchten Zugriff auf deaktivierte Accounts.
    4. Aktivieren Sie die Playbooks.
      1. Aktivieren Sie den Haupt-Flow, um das im Basissystem verfügbare Playbook zu verwenden.
      2. Aktivieren Sie die kopierten Flows, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
    5. Legen Sie eine Auslöserbedingung für das Playbook fest.

      Dieses Playbook wird ausgelöst, wenn der Security Incident basierend auf Ihren erforderlichen Bedingungen erstellt oder aktualisiert wird. Beispiel: Wenn die Kategorie„Insider-Verstoß“ist

      Abbildung : 2. Auslösebedingung für Playbook für versuchten Zugriff auf deaktivierte Accounts
      Auslösebedingung für Playbook „Versuchter Zugriff auf deaktivierte Accounts“.