실패한 로그인 매뉴얼에 대한 플레이북
사용자가 (SIM 구성에 따라) 로그인 시도에 실패하면 보안 인시던트가 생성됩니다.
이러한 실패한 로그인 시도는 긍정 오류일 수도 있고 공격자가 사용자 이메일 계정에 액세스하려는 시도일 수도 있습니다. 이러한 시나리오에서 실패한 로그인 수동 플레이북은 지침을 제공하고 실패한 로그인 보안 인시던트의 조사를 최적화하는 데 도움이 될 수 있습니다.
필수 구성요소
필요한 역할:
- sn_si.admin
- flow_designer
스포크: Security Operations 스포크(sn_sec_spoke) 설치
핵심 기능
실패한 로그인 플레이북은 보안 인시던트를 조사하기 위한 다음 기능을 다룹니다.
- 영향을 받는 사용자가 활성/비활성 사용자인지 확인합니다.
- 필터 허용 목록 옵저버블
- 옵저버블을 보강합니다.
- 자동화된 위협 조회를 수행합니다.
- 실패한 로그인 시도를 확인하기 위해 사용자에게 자동 이메일을 보냅니다.
- 사용자 액세스를 조사하기 위해 분석가에게 작업을 할당합니다.
- 악의적인 옵저버블을 식별하고 IP 및 URL을 차단합니다.
- 사용자 암호를 재설정합니다.
- 보안 인시던트 상태 업데이트
- 보안 분석가에게 작업을 할당하여 사후 인시던트 검토를 처리합니다.
필요한 역량
- 위협 조회(Virus Total, 하이브리드 분석)
- 옵저버블 보강(Whois, ReverseWhois)
- 사이팅 검색(Splunk, QRadar)
- 옵저버블 차단(CheckPoint, Palo Alto)
자세한 내용은 ServiceNow Store를 참조하십시오.
보안 분석가 경험
보안 위협을 단계별로 해결하는 방법을 이해하려면 다음 문서를 참조하십시오 플레이북으로 보안 위협 해결.
플로우 디자이너 역량과 함께 실패한 로그인 플레이북 사용
시작
- sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
- 다음으로 이동 을 클릭하고 실패한 로그인 플레이북을 클릭합니다.
- 다음 플로우의 사본을 만들어 실패한 로그인 플레이북을 복사하고 필요한 수정을 수행합니다. (이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경을 수행하려는 경우에만 이 단계를 수행하십시오.)
- 실패한 로그인 수동 플레이북 V1
- 실패한 로그인 - 사용자의 회신 구문 분석 및 응답 업데이트 작업 V1
- 요구 사항에 따라 필요한 수정을 수행합니다. (이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경을 수행하려는 경우에만 이 단계를 수행하십시오.)
- 플레이북을 활성화합니다.
- 기본 시스템에서 사용할 수 있는 플레이북을 사용하려면 메인 플로우를 활성화합니다.
- 요구 사항에 따라 수정한 후 복사된 플로우를 활성화합니다.
다음 이미지는 실패한 로그인 수동 플레이북의 사본을 보여줍니다. 아래 단계를 검토하여 플레이북의 다양한 작업을 이해하십시오.
이 플레이북은 다음 조건이 충족될 때 트리거되고 보안 인시던트와 연결됩니다.
- 범주 로그인 실패
- 영향을 받는 사용자가 한 명 이상 있음
- 보안 인시던트가 종결되거나 취소되지 않음
다음 단계에서는 실패한 로그인 수동 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우를 안내합니다.
- 플레이북이 실행을 시작하면 1단계에서 실패한 로그인 범주가 있는 보안 인시던트가 할당되었음을 보여주는 작업 메모로 플레이북이 자동으로 업데이트됩니다.
- 2단계에서는 플레이북이 업데이트되어 분석 상태로 이동됩니다.
- 3단계에서 플레이북은 영향을 받는 사용자가 활성 사용자인지 비활성 사용자인지 확인합니다. 사용자가 비활성 상태이면 사용자 계정이 비활성 상태임을 나타내는 작업 메모가 보안 인시던트에 추가됩니다.
주:플로우의 3단계에서는 플로우가 에서 사용할 수 있는 ServiceNowsn_si_incident 테이블에서 비활성 사용자를 확인합니다. 이 단계는 지침으로 제공되며 특정 환경에 맞게 수정해야 합니다. 이 기능을 사용하려면 환경에 Active Directory 통합을 설정하는 것이 좋습니다. Active Directory 통합을 통해 사용자 상태를 확인하고 응답에 따라 플레이북의 다음 단계를 설계할 수 있습니다.Active Directory 통합이 없는 경우 보안 분석가가 IT 팀과 협력하여 사용자를 차단하고 플레이북의 나머지 단계를 진행할 수 있도록 이 단계를 수동 작업으로 대체합니다.
- 4단계에서는 보안 인시던트에 대한 옵저버블이 검색됩니다.
- 5단계에서는 옵저버블이 식별됩니다.
- 옵저버블을 찾을 수 없으면 6단계에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
- 7단계에서 옵저버블이 발견되면 허용 목록에 없는 옵저버블이 식별됩니다.
- 옵저버블 중 하나 이상이 허용되지 않은 목록에 있으면 다음 단계가 수행됩니다.
- 8.1 및 8.2단계가 실행됩니다. 옵저버블이 검색되고 자동 응답 작업이 시작됩니다.
- 자동화된 작업이 생성되면 8.3단계(8.3.1.1 및 8.3.2.1)가 실행되고 옵저버블 보강 및 위협 조회 통합이 실행됩니다. 이는 플레이북에 포함된 하위 플로우입니다.
- 8.4단계에서 통합이 완료되면 보안 인시던트 기록이 업데이트됩니다.
- 8.5 단계에서는 다음으로 자동화 작업이 수행될 것을 나타내는 새 응답 작업이 생성됩니다.
- 8.6단계에서는 옵저버블에서 사이팅 검색 통합이 실행됩니다.
- 사이팅 검색 하위 플로우가 완료되면 8.7단계에서 보안 인시던트가 업데이트됩니다.
- 8.8단계에서는 옵저버블이 악성인지 여부를 확인합니다.
- 옵저버블이 악의적이지 않고 사용자 계정이 활성 상태인 경우 실패한 로그인 시도를 재확인하기 위해 자동 이메일이 사용자에게 전송됩니다. 옵저버블을 식별하고 보안 인시던트에 추가하기 위해 수동 응답 작업이 생성됩니다. 그러면 플레이북이 이 스테이지에서 종료됩니다.
- 옵저버블이 악성인 경우 다음과 같은 세 가지 응답 작업이 생성됩니다.
- 실패한 로그인 시도를 확인( 예 또는 아니요) 하기 위해 자동 이메일이 사용자에게 전송됩니다. 사용자가 예라고 응답하는 경우:
- 보안 인시던트 상태가 포함으로 업데이트됩니다.
- 암호를 재설정하라는 자동 이메일이 사용자에게 전송됩니다.
- 암호 재설정 하위 플로우가 시작되고 작업이 완료되면 사용자에게 이메일이 전송됩니다.
주:암호 재설정 단계는 가이드라인으로 제공됩니다. 플로우의 단계에서는 ServiceNow 시스템에서 사용자 계정의 암호를 재설정합니다. 그러나 암호를 재설정하는 프로세스는 환경에 따라 다를 수 있습니다. Active Directory 통합을 확인하여 사용자의 암호를 자동으로 재설정할 수 있습니다. Active Directory 통합이 없는 경우 보안 분석가가 각 IT 팀과 협력하여 사용자 암호를 재설정하고 해당 작업을 완료한 후 플레이북의 나머지 단계를 진행할 수 있도록 이 단계를 수동 작업으로 대체합니다. - 사용자가 아니요라고 응답하면 응답을 재확인하기 위해 자동 이메일이 사용자에게 전송됩니다. 보안 분석가는 수동으로 적절한 조치를 취해야 합니다.
- 사용자가 자동화된 이메일에 응답하지 않는 경우 보안 분석가는 보안 인시던트를 수동으로 업데이트하고 응답을 제공해야 합니다. 사용자 계정이 손상되었는지 확인하기 위해 수동 작업이 생성됩니다.
- 실패한 로그인 시도를 확인( 예 또는 아니요) 하기 위해 자동 이메일이 사용자에게 전송됩니다. 사용자가 예라고 응답하는 경우:
- 8.1 및 8.2단계가 실행됩니다. 옵저버블이 검색되고 자동 응답 작업이 시작됩니다.
- 8.10.3단계에서는 보안 인시던트 상태가 업데이트되었습니다.
- 8.10.4단계에서는 악성 IP 및 URL에 대한 요청 차단 생성 기능 구현을 사용할 수 있는지 확인하기 위해 자동화된 작업이 생성됩니다. 역량 구현을 사용할 수 있으면 블록 요청 생성 하위 플로우가 실행됩니다. 이를 사용할 수 없는 경우 보안 인시던트가 업데이트되고 역량 구현을 사용할 수 없음을 나타내는 작업 메모가 게시됩니다.
- 9단계에서 보안 인시던트가 업데이트되고 상태가 검토로 설정됩니다.
- 10단계에서는 사용자가 사후 인시던트 검토를 완료한 후 작업을 종결할 수 있도록 응답 작업이 생성됩니다.