Utiliser les tentatives VPN réussies à partir du playbook des comptes de service

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui suivent les tentatives de connexion réussies à partir de comptes de service via VPN. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires qui sont disponibles dans les tentatives VPN réussies à partir du playbook Comptes de services.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, augmentez l’incident de sécurité en haute priorité et informez immédiatement votre responsable.
    2. Dans l’action 2, contactez le propriétaire du compte de service pour valider la justification commerciale.
      Vous pouvez utiliser le modèle d’e-mail fourni pour contacter le propriétaire du compte de service afin de valider la justification commerciale.
    3. Dans l’action 3, vérifiez si le propriétaire du compte de service a fourni une justification commerciale valide.
      Figure 1. Tentatives VPN réussies à partir du playbook des comptes de service - Entreprise/Cloud
      Tâche de réponse pour vérifier si le propriétaire du compte de service a fourni une justification commerciale valide.
    4. Dans l’action 4, si le propriétaire du compte de service a fourni une justification commerciale valide, procédez comme suit :
      1. Dans l’action 5, ajoutez l’adresse IP source à la liste d’autorisation si nécessaire.
      2. Dans l’action 6, documentez les résultats obtenus jusqu’à présent.
      3. Dans l’action 7, lancez une révision post-incident.
        Dans l’action 8, après la revue post-incident, le flux se termine.
      Figure 2. Utilisation des tentatives VPN réussies à partir du playbook Comptes de services - Entreprise/Cloud
      Tâche de réponse pour vérifier si le propriétaire du compte de service a fourni une justification commerciale valide.
    5. Dans l’action 9, si le propriétaire du compte de service n’a pas fourni de justification commerciale valide, procédez comme suit :
      1. Dans l’action 10, verrouillez temporairement le compte de service pendant que l’enquête est en cours.
      2. Dans l’action 11, réinitialisez les mots de passe du compte de service compromis.
      3. Dans l’action 12, vérifiez les journaux pour tous les types d’activités que le compte pourrait utiliser.
        Recherchez les journaux d’authentification tels que les journaux Active Directory, les journaux d’audit, les journaux Okta, les journaux Office 365, etc.
      4. Dans l’action 13, recherchez les détails de certification de la machine utilisés pour vous authentifier avec l’aide de l’équipe d’assistance informatique.
      5. Dans l’action 14, lever le confinement et ramener les systèmes aux normes opérationnelles.
      6. Dans l’action 15, terminez la revue post-incident avant de fermer la tâche.