この Playbook では、VPN を介したサービスアカウントからの成功したログイン試行を追跡するインシデントを調査するための体系的な修復手順が提供されました。サービスアカウントはVPNからのログインイベントを持つことは想定されておらず、そのようなイベントはブルートフォースまたはアカウントの資格情報の公開の可能性のいずれかを示している可能性があります。

サービスアカウントからの成功した VPN 試行の開始 - 企業/クラウド Playbook

1. sn_si.user および flow_designer ロールを持つユーザーとしてログインします。
2. 移動先 すべて > Flow Designer をクリックし、[ サービスアカウント - 企業/クラウド Playbook から成功した VPN 試行 ] を選択します。
3. (オプション)[サービスアカウント - 企業/クラウド] Playbook フローから成功した VPN 試行のコピーを作成し、必要な変更を加えることができます。Playbook のフローのコピーを作成するには、[ アイコンをクリックし、[ フローのコピー] を選択します。このステップは、フローをカスタマイズまたは変更する場合にのみ実行します。

   

4. Playbook をアクティブ化します。
   • ベースシステムで利用可能な Playbook を使用するには、メインフローをアクティブ化します。
   • 必要な変更を行った後、コピーしたフローをアクティブ化します。

トリガー条件:この Playbook は、必要な条件に基づいてセキュリティインシデントが作成または更新されると、トリガーされ、セキュリティインシデントに関連付けられます。たとえば、 カテゴリが[内部違反] である場合などです。