Verwenden Sie die Erfolgreiche VPN-Versuche aus dem Playbook für Servicekonten

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die erfolgreiche Anmeldeversuche von Servicekonten über VPN nachverfolgen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Erfolgreiche VPN-Versuche aus dem Servicekonten-Playbook“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, erhöhen Sie in Aktion 1 den Security Incident auf eine hohe Priorität, und benachrichtigen Sie sofort Ihren Manager.
    2. Wenden Sie sich in Aktion 2 an den Besitzer des Servicekontos, um die geschäftliche Begründung zu validieren.
      Sie können die bereitgestellte E-Mail-Vorlage verwenden, um sich an den Besitzer des Service-Accounts zu wenden und die geschäftliche Begründung zu validieren.
    3. Überprüfen Sie in Aktion 3, ob der Service-Account-Besitzer eine stichhaltige geschäftliche Begründung angegeben hat.
      Abbildung : 1. Erfolgreiche VPN-Versuche aus dem Playbook „Servicekonten – Unternehmen/Cloud“.
      Antwortaufgabe, um zu überprüfen, ob der Service-Account-Besitzer eine gültige geschäftliche Begründung angegeben hat.
    4. Wenn der Besitzer des Service-Accounts in Aktion 4 eine stichhaltige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
      1. Fügen Sie in Aktion 5 bei Bedarf die Quell-IP der Allow-Liste hinzu.
      2. Dokumentieren Sie in Aktion 6 die bisherigen Ergebnisse.
      3. Initiieren Sie in Aktion 7 eine Überprüfung nach Incident.
        In Aktion 8 wird nach der Überprüfung nach Incident der Flow beendet.
      Abbildung : 2. Verwenden der erfolgreichen VPN-Versuche aus dem Playbook „Servicekonten – Unternehmen/Cloud“.
      Antwortaufgabe, um zu überprüfen, ob der Service-Account-Besitzer eine gültige geschäftliche Begründung angegeben hat.
    5. Wenn der Besitzer des Servicekontos in Aktion 9 keine stichhaltige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
      1. Sperren Sie in Aktion 10 den Serviceaccount vorübergehend, während die Untersuchung stattfindet.
      2. Setzen Sie in Aktion 11 die Passwörter für den gefährdeten Service-Account zurück.
      3. Überprüfen Sie in Aktion 12 die Protokolle auf alle Arten von Aktivitäten, die für den Account verwendet werden könnten.
        Achten Sie auf Authentifizierungsprotokolle wie Active Directory-Protokolle, Audit-Protokolle, Okta-Protokolle, Office 365-Protokolle usw.
      4. Suchen Sie in Aktion 13 nach den Computerzertifizierungsdetails, die zur Authentifizierung mit Unterstützung des IT-Supportteams verwendet werden.
      5. In Aktion 14: Containment aufheben und Systeme wieder auf Betriebsstandard zurücksetzen.
      6. Schließen Sie in Aktion 15 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.