Utiliser le playbook Tentatives VPN réussies à partir du playbook Comptes de services

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui suivent les tentatives de connexion réussies à partir de comptes de service via VPN. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Tentatives VPN réussies à partir du playbook Comptes de services.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, passez l’incident de sécurité en priorité élevée et informez immédiatement votre gestionnaire.
    2. Dans l’action 2, contactez le propriétaire du compte de service pour valider la justification commerciale.
      Vous pouvez utiliser le modèle d’e-mail fourni pour contacter le propriétaire du compte de service afin de valider la justification commerciale.
    3. Dans l’action 3, vérifiez si le propriétaire du compte de service a fourni une justification commerciale valide.
      Figure 1. Tentatives VPN réussies à partir des comptes de services - Playbook d’entreprise/cloud
      Tâche de réponse pour vérifier si le propriétaire du compte de service a fourni une justification commerciale valide.
    4. Dans l’action 4, si le propriétaire du compte de service a fourni une justification commerciale valide, procédez comme suit :
      1. Dans l’action 5, ajoutez l’adresse IP source à la liste d’autorisation si nécessaire.
      2. Dans l’action 6, documentez les résultats obtenus jusqu’à présent.
      3. Dans l’action 7, lancez une revue post-incident.
        Dans l’action 8, après la revue post-incident, le flux s’arrête.
      Figure 2. Utilisation des tentatives VPN réussies à partir du playbook Comptes de services - Entreprise/Cloud
      Tâche de réponse pour vérifier si le propriétaire du compte de service a fourni une justification commerciale valide.
    5. Dans l’action 9, si le propriétaire du compte de service n’a pas fourni de justification commerciale valide, procédez comme suit :
      1. Dans l’action 10, verrouillez temporairement le compte de service pendant l’enquête.
      2. Dans l’action 11, réinitialisez les mots de passe du compte de service compromis.
      3. Dans l’action 12, vérifiez les journaux pour toutes sortes d’activités que le compte pourrait utiliser.
        Recherchez les journaux d’authentification tels que les journaux Active Directory, les journaux d’audit, les journaux Okta, les journaux Office 365, entre autres.
      4. Dans l’action 13, recherchez les détails de certification de l’ordinateur utilisés pour vous authentifier avec l’aide de l’équipe d’assistance informatique.
      5. Dans l’action 14, lever le confinement et ramener les systèmes aux normes opérationnelles.
      6. Dans l’action 15, effectuez la revue post-incident avant de fermer la tâche.