Verwenden Sie das Playbook „Versuchter Zugriff auf deaktivierte Accounts“.

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, wenn ein Mitarbeiter, dessen Account gekündigt, deaktiviert oder getrennt wurde, versucht, sich mit seinen Anmeldeinformationen anzumelden. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Versuchter Zugriff auf deaktivierte Accounts“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, überprüfen Sie in Aktion 1, ob der versuchte Zugriff auf die deaktivierten Accounts von einem aktiven Anwender erfolgt ist.
    2. Überprüfen Sie in Aktion 2, ob der versuchte Zugriff auf die deaktivierten Accounts von einem aktiven Mitarbeiter erfolgt ist.
      Abbildung : 1. Versuchter Zugriff auf Playbook für deaktivierte Accounts
      Antwortaufgabe, um zu überprüfen, ob der versuchte Zugriff auf die deaktivierten Accounts von einem aktiven Mitarbeiter erfolgt ist.
    3. Wenn der Zugriffsversuch auf die deaktivierten Accounts von einem aktiven Mitarbeiter erfolgt ist, gehen Sie wie folgt vor:
      1. Überprüfen Sie in Aktion 3, ob der Anwender ein Projekt oder einen Testfall hatte, durch das er zu einem inaktiven Mitarbeiter wurde.
      2. Wenn der Benutzer in Aktion 4 kein Projekt oder keinen Testfall hatte, durch den er zu einem inaktiven Mitarbeiter wurde, arbeiten Sie mit dem IT-Supportteam zusammen, um die Fehlkonfiguration zu beheben.
        Der Flow endet.
      3. Wenn der Benutzer in Aktion 5 ein Projekt oder einen Testfall hatte, durch das/den er zu einem inaktiven Mitarbeiter wurde, führen Sie die folgenden Schritte aus:
        1. Dokumentieren Sie in Aktion 6 die bisherigen Ergebnisse.
        2. Initiieren Sie in Aktion 7 eine Überprüfung nach Incident.

          In Aktion 8 wird nach der Überprüfung nach Incident der Flow beendet.

    4. Wenn in Aktion 9 der versuchte Zugriff auf den deaktivierten Account nicht von einem aktiven Mitarbeiter erfolgt ist, führen Sie die folgenden Schritte aus:
      1. Überprüfen Sie in Aktion 10, ob sich der Anwender erfolgreich angemeldet hat.
      2. Überprüfen Sie in Aktion 11, wann das Offboarding des Mitarbeiters erfolgt ist.
      3. Untersuchen Sie in Aktion 12 die Ereignisse in Splunk, um die Aktivitäten des Benutzers während des Zeitraums zu untersuchen.
      4. Stellen Sie in Aktion 13 basierend auf der bisherigen Untersuchung fest, ob der Benutzer Daten extrahiert hat.
      5. Wenn der Benutzer in Aktion 14 keine Daten extrahiert hat, führen Sie die folgenden Schritte aus:
        1. In Aktion 15: Arbeiten Sie mit dem IT-Supportteam zusammen, um alle aktiven Sitzungen zu beenden und die Accounts zu deaktivieren.
        2. Dokumentieren Sie in Aktion 16 die bisherigen Ergebnisse.
        3. Initiieren Sie in Aktion 17 eine Überprüfung nach Incident.

        In Aktion 18 wird nach der Überprüfung nach Incident der Flow beendet.

        Abbildung : 2. Mithilfe des Playbooks „Versuchter Zugriff auf deaktivierte Accounts“.
        Antwortaufgaben, wenn der versuchte Zugriff auf die deaktivierten Accounts nicht von einem aktiven Mitarbeiter erfolgt
    5. Wenn der Anwender in Aktion 19 Daten exgefiltert hat, führen Sie die folgenden Schritte aus:
      1. Sperren Sie in Aktion 20 den böswilligen Anwender, und löschen Sie alle aktiven Sitzungen.
      2. In Aktion 21: Arbeiten Sie mit dem IT-Supportteam zusammen, um alle Konten zu deaktivieren.
      3. Stellen Sie in Aktion 22 sicher, dass der normale Status der Ressourcen wiederhergestellt wird und keine schädlichen Aktivitäten mehr vorliegen.
        Bei Bedarf können Sie ein erneutes Bild der Ressourcen erstellen.
      4. In Aktion 23: Containment aufheben und Systeme wieder auf Betriebsstandard zurücksetzen.
      5. Schließen Sie in Aktion 24 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.