Configurer le playbook de compte désactivé de tentative d’accès

  • Rversion finale: Washingtondc
  • Mis à jour 2 févr. 2024
  • 1 minute de lecture

    • Suivez les étapes suivantes pour configurer le playbook de compte désactivé de tentative d’accès.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
    2. Accédez à la Tous > Concepteur de flux et sélectionnez le playbook Compte désactivé de tentative d’accès .
    3. Créez une copie du flux Playbook de compte désactivé de tentative d’accès et apportez les modifications nécessaires.

      Pour créer une copie du flux du playbook, sélectionnez l’icône de menu Plus d’actions , puis Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.

      Figure 1. Tentative d’accès au playbook des comptes désactivés
      Vue d’ensemble de la tentative d’accès au playbook des comptes désactivés.
    4. Activez les playbooks.
      1. Activez le flux principal pour utiliser le playbook disponible dans le système de base.
      2. Activez les flux copiés après avoir apporté les modifications requises.
    5. Condition de déclenchement : ce playbook est déclenché lorsque l’incident de sécurité est créé ou mis à jour en fonction des conditions requises.

      Par exemple, lorsque la catégorie est Insider Breach

      Figure 2. Tentative d’accès aux comptes désactivés Condition de déclenchement du playbook
      Condition de déclenchement de la tentative d’accès au playbook des comptes désactivés.