非アクティブ化されたアカウントへのアクセス試行プレイブックを使用する

リリースバージョン: Australia

更新日 2026年03月12日

所要時間：2分

アカウントが終了、非アクティブ、または分離されている従業員が認証情報を使用してログインしようとする場合は、このプレイブックを使用します。以下に示すステップは、非アクティブ化されたアカウントへのアクセス試行プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

始める前に

必要なロール：

sn_si.admin
flow_designer

手順

プレイブックがトリガーされて実行が開始されたら、アクション 1 で、非アクティブ化されたアカウントへのアクセスの試行がアクティブなユーザーによって行われたかどうかを確認します。
アクション 2 では、非アクティブ化されたアカウントへのアクセスの試行がアクティブな従業員によって行われたかどうかを確認します。

図 : 1. 非アクティブ化されたアカウントへのアクセス試行プレイブック
非アクティブ化されたアカウントへのアクセスの試行がアクティブな従業員によって行われた場合は、次の手順を実行します。
1. アクション 3 では、ユーザーに非アクティブな従業員となる原因となったプロジェクトまたはテストケースがあったかどうかを確認します。
2. アクション 4 では、ユーザーに非アクティブな従業員となる原因となったプロジェクトまたはテストケースがなかった場合に、IT サポートチームと協力して構成ミスを修正します。
  フローが終了します。
3. アクション 5 では、ユーザーに非アクティブな従業員となる原因となったプロジェクトまたはテストケースがあった場合に、次の手順を実行します。
  1. アクション 6 では、これまでの結果を文書化します。
  2. アクション 7 では、インシデントの事後レビューを開始します。
    アクション 8 では、インシデントの事後レビューの後、フローが終了します。
アクション 9 では、非アクティブ化されたアカウントへのアクセスの試行がアクティブな従業員によって行われた場合に、次の手順を実行します。
1. アクション 10 では、ユーザーのログインが成功したかどうかを確認します。
2. アクション 11 では、従業員がいつオフボーディングされたかを確認します。
3. アクション 12 では、Splunk のイベントを調査して、期間中のユーザーのアクティビティを調べます。
4. アクション 13 では、これまでの調査に基づいて、ユーザーがデータを盗み出したかどうかを判断します。
5. アクション 14 では、ユーザーがデータを盗み出していない場合に、次の手順を実行します。
  1. アクション 15 では、IT サポートチームと協力してアクティブなセッションを終了し、アカウントを無効にします。
  2. アクション 16 では、これまでの結果を文書化します。
  3. アクション 17 では、インシデントの事後レビューを開始します。
  アクション 18 では、インシデントの事後レビューの後、フローが終了します。
  
  図 : 2. 非アクティブ化されたアカウントへのアクセス試行プレイブックの使用
アクション 19 では、ユーザーがデータを盗み出していた場合に、次の手順を実行します。
1. アクション 20 では、悪意のあるユーザーをロックアウトし、アクティブなセッションをすべて破棄します。
2. アクション 21 では、IT サポートチームと協力してすべてのアカウントを無効にします。
3. アクション 22 では、リソースが通常の状態に復元され、悪意のあるアクティビティがないことを確認します。
  必要に応じて、リソースを再イメージ化できます。
4. アクション 23 では、封じ込めを解除し、システムを運用標準に戻します。
5. アクション 24 では、タスクをクローズする前にインシデントの事後レビューを完了します。