비활성화된 계정에 액세스 시도됨 플레이북 사용

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • 계정이 종료되거나 비활성 또는 분리된 직원이 자격 증명으로 로그인을 시도할 때 이 플레이북을 사용합니다. 다음 단계에서는 비활성화된 계정에 대한 액세스 시도 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행을 시작할 때 작업 1에서 비활성화된 계정에 대한 액세스를 시도한 사람이 활성 사용자인지 확인합니다.
    2. 작업 2에서는 활동 중인 직원이 비활성화된 계정에 접근을 시도했는지 확인합니다.
      그림 1. 비활성화된 계정 플레이북에 액세스 시도
      비활성화된 계정에 대한 액세스 시도가 활성 직원에 의해 이루어졌는지 확인하기 위한 응답 작업입니다.
    3. 활성 직원이 비활성화된 계정에 액세스하려고 시도한 경우 다음 단계를 수행합니다.
      1. 작업 3에서는 사용자에게 사용자를 비활성 직원으로 만든 프로젝트 또는 테스트 케이스가 있는지 확인합니다.
      2. 작업 4에서 사용자에게 사용자가 비활성 직원이 된 프로젝트 또는 테스트 케이스가 없는 경우 IT 지원 팀과 협력하여 잘못된 구성을 수정합니다.
        플로우가 종료됩니다.
      3. 작업 5에서 사용자에게 사용자를 비활성 직원으로 만든 프로젝트 또는 테스트 케이스가 있는 경우 다음 단계를 수행합니다.
        1. 작업 6에서는 지금까지의 결과를 문서화합니다.
        2. 작업 7에서 사후 인시던트 검토를 시작합니다.

          작업 8에서는 사후 인시던트 검토가 완료되면 플로우가 종료됩니다.

    4. 작업 9에서 비활성화된 계정에 대한 액세스를 시도한 사람이 활성 직원이 아닌 경우 다음 단계를 수행합니다.
      1. 작업 10에서 사용자가 로그인에 성공했는지 확인합니다.
      2. 작업 11에서 직원이 등록 취소된 시기를 확인합니다.
      3. 작업 12에서는 Splunk의 이벤트를 조사하여 해당 기간 동안의 사용자 활동을 검사합니다.
      4. 작업 13에서는 지금까지의 조사를 기반으로 사용자가 데이터를 유출했는지 여부를 확인합니다.
      5. 작업 14에서 사용자가 데이터를 유출하지 않은 경우 다음 단계를 수행합니다.
        1. 작업 15에서는 IT 지원 팀과 협력하여 활성 세션을 종료하고 계정을 비활성화합니다.
        2. 작업 16에서 지금까지의 결과를 문서화하십시오.
        3. 작업 17에서 사후 인시던트 검토를 시작합니다.

        작업 18에서는 사후 인시던트 검토가 완료되면 플로우가 종료됩니다.

        그림 2. 비활성화된 계정에 시도된 액세스 플레이북 사용
        비활성화된 계정에 대한 액세스 시도가 활성 직원이 아닌 경우의 응답 작업
    5. 작업 19에서 사용자가 데이터를 유출한 경우 다음 단계를 수행합니다.
      1. 작업 20에서 악의적인 사용자를 잠그고 활성 세션을 모두 삭제합니다.
      2. 작업 21에서는 IT 지원 팀과 협력하여 모든 계정을 비활성화합니다.
      3. 작업 22에서는 자원이 정상 상태로 복원되고 악의적인 활동이 없는지 확인합니다.
        필요한 경우 자원의 이미지를 다시 설치할 수 있습니다.
      4. 조치 23에서는 봉쇄를 해제하고 시스템을 운영 표준으로 되돌립니다.
      5. 작업 24에서 사후 인시던트 검토를 완료한 후 작업을 종결하십시오.