サービスアカウント Playbook からの成功した VPN 試行の使用

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • 次のステップは、サービスアカウントからの成功した VPN 試行 Playbook で使用できるアクション、タスク、およびサブフローのウォークスルーを示しています。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 でセキュリティインシデントを高優先度に引き上げ、すぐにマネージャーに通知する必要があります。
    2. ステップ 2 では、サービスアカウントの所有者に連絡して、ビジネス上の根拠を検証する必要があります。
      提供されたメールテンプレートを使用して、サービスアカウントの所有者に連絡し、ビジネス上の根拠を検証することができます。
    3. ステップ 3 では、サービスアカウント所有者が有効なビジネス上の正当な理由を提供したかどうかを確認する必要があります。
      図 : 1. サービスアカウントからの成功した VPN 試行 - 企業/クラウドプレイブック
      サービスアカウントオーナーが有効なビジネス上の根拠を提供したかどうかを確認する応答タスク。
    4. 手順 4 で、サービスアカウント所有者が有効なビジネス上の正当な理由を提供した場合は、次の手順を実行します。
      1. 手順 5 では、必要に応じて送信元 IP を許可リストに追加する必要があります。
      2. ステップ 6 では、これまでの結果を文書化するための応答タスクを作成する必要があります。
      3. ステップ 7 では、インシデントの事後レビューを開始するための応答を作成する必要があります。
        ステップ 8 では、インシデントの事後レビューの後、フローが終了します。
      図 : 2. サービスアカウントからの成功した VPN 試行の使用:企業/クラウド Playbook
      サービスアカウント所有者が有効なビジネス上の根拠を提供したかどうかを確認する応答タスク。
    5. ステップ 9 で、サービスアカウント所有者が有効なビジネス上の正当な理由を提供しなかった場合は、次の手順を実行します。
      1. 手順 10 では、調査の実行中にサービス アカウントを一時的にロックする必要があります。
      2. 手順 11 では、侵害されたサービス アカウントのパスワードをリセットする必要があります。
      3. ステップ12では、アカウントが使用できるあらゆる種類のアクティビティのログを確認する必要があります。
        Active Directory ログ、監査ログ、Okta ログ、Office 365 ログなどの認証ログを探します。
      4. ステップ 13 では、IT サポートチームの支援による認証に使用されるマシン認定の詳細を見つける必要があります。
      5. ステップ 14 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
      6. ステップ 15 で、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。
        ステップ 16 では、インシデントの事後レビューの後、フローが終了します。