サービスアカウントからの正常な VPN 試行プレイブックを使用する

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:1分

    • このプレイブックを使用して、VPN を介したサービスアカウントからの成功したログイン試行を追跡するインシデントを調査します。以下に示すステップは、サービスアカウントからの正常な VPN 試行プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 で、セキュリティインシデントを優先度「高」に引き上げ、すぐにマネージャーに通知します。
    2. アクション 2 では、ビジネス上の根拠を検証するためにサービスアカウントの所有者に連絡します。
      提供されたメールテンプレートを使用して、サービスアカウントの所有者に連絡し、ビジネス上の根拠を検証することができます。
    3. アクション 3 では、サービスアカウントオーナーが有効なビジネス上の根拠を提供したかどうかを確認します。
    4. アクション 4 では、サービスアカウント所有者が有効なビジネス上の根拠を提供した場合に、次の手順を実行します。
      1. アクション 5 では、必要に応じてソース IP を許可リストに追加します。
      2. アクション 6 では、これまでの結果を文書化します。
      3. アクション 7 では、インシデントの事後レビューを開始します。
        アクション 8 では、インシデントの事後レビューの後、フローが終了します。
    5. アクション 9 では、サービスアカウント所有者が有効なビジネス上の根拠を提供しなかった場合に、次の手順を実行します。
      1. アクション 10 では、調査の実行中にサービスアカウントを一時的にロックします。
      2. アクション 11 では、侵害されたサービスアカウントのパスワードをリセットします。
      3. アクション 12 では、アカウントが使用できるあらゆる種類のアクティビティのログを確認します。
        Active Directory ログ、監査ログ、Okta ログ、Office 365 ログなどの認証ログを探します。
      4. アクション 13 では、IT サポートチームの支援による認証に使用されるマシン認定の詳細を見つけます。
      5. アクション 14 では、封じ込めを解除し、システムを運用標準に戻します。
      6. アクション 15 では、タスクをクローズする前にインシデントの事後レビューを完了します。