실패한 로그인 매뉴얼을 위한 Playbook

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기6분

    • 사용자가 SIM 구성에 따라 특정 로그인 시도에 실패하면 보안 인시던트가 생성됩니다.

    이러한 실패한 로그인 시도는 가양성 또는 공격자가 사용자 이메일 계정에 대한 액세스 권한을 얻으려는 시도일 수 있습니다. 이러한 시나리오에서 실패한 로그인 수동 플레이북은 지침을 제공하고 실패한 로그인 보안 인시던트의 조사를 최적화하는 데 도움이 될 수 있습니다.

    필요 조건

    필요한 역할:
    • sn_si.admin
    • flow_designer

    스포크: Security Operations 스포크(sn_sec_spoke) 설치

    핵심 기능

    실패한 로그인 플레이북에서는 보안 인시던트를 조사하는 다음과 같은 기능을 다룹니다.

    1. 영향을 받는 사용자가 활성/비활성 사용자인지 확인합니다.
    2. 필터 허용 목록 옵저버블
    3. 옵저버블을 보강합니다.
    4. 자동화된 위협 조회를 수행합니다.
    5. 실패한 로그인 시도를 확인하기 위해 사용자에게 자동화된 이메일을 보냅니다.
    6. 사용자 액세스를 조사하기 위해 분석가에게 작업 할당
    7. 악의적인 옵저버블을 식별하고 IP 및 URL을 차단합니다.
    8. 사용자 암호를 재설정합니다.
    9. 보안 인시던트 상태 업데이트
    10. 보안 분석가에게 작업을 할당하여 인시던트 사후 검토를 처리합니다.

    필요한 역량

    • 위협 조회(바이러스 총계, 하이브리드 분석)
    • 관찰 대상 보강(Whois, ReverseWhois)
    • 사이팅 검색(Splunk, QRadar)
    • 옵저버블 차단(CheckPoint, Palo Alto)

    자세한 내용은 ServiceNow Store를 참조하십시오.

    보안 분석가 경험

    보안 위협을 단계별로 해결하는 방법을 이해하려면 을 참조하십시오 Playbook으로 보안 위협 해결.

    Flow Designer 기능과 함께 실패한 로그인 Playbook 사용

    시작
    1. sn_si.user 및 flow_designer 역할을 가진 사용자로 로그인합니다.
    2. 다음으로 이동 플로우 디자이너 > 디자이너 을 클릭하고 실패한 로그인 플레이북을 클릭합니다.
    3. 다음 플로우의 사본을 만들어 실패한 로그인 Playbook을 복사하고 필요한 수정을 수행합니다. (이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경 사항을 적용하려는 경우에만 이 단계를 수행합니다.)
      • 실패한 로그인 수동 Playbook V1
      • 실패한 로그인 - 사용자의 회신 구문 분석 및 응답 작업 V1 업데이트
    4. 요구 사항에 따라 필요한 수정을 수행합니다. (이 단계는 선택 사항입니다. 플로우를 사용자 지정하거나 특정 변경 사항을 적용하려는 경우에만 이 단계를 수행합니다.)
    5. Playbook을 활성화합니다.
      • 메인 플로우를 활성화하여 기본 시스템에서 사용할 수 있는 Playbook을 사용합니다.
      • 요구 사항에 따라 수정한 후 복사한 플로우를 활성화합니다.

    다음 이미지는 실패한 로그인 수동 Playbook의 복사본을 보여줍니다. 아래 단계를 검토하여 Playbook의 다양한 작업을 이해하십시오.


    실패한 로그인 수동 Playbook 사본
    다음 조건이 충족되면 이 Playbook이 트리거되고 보안 인시던트와 연결됩니다.
    • 범주는 실패한 로그인입니다.
    • 영향을 받는 사용자가 한 명 이상 있음
    • 보안 인시던트가 종결되거나 취소되지 않았습니다.

    실패한 로그인 Playbook: 트리거

    다음 단계에서는 실패한 로그인 수동 Playbook에서 사용할 수 있는 작업, 작업, 하위 플로우를 안내합니다.

    1. Playbook이 실행되기 시작하면 1단계에서 실패한 로그인 범주의 보안 인시던트가 할당되었음을 보여 주는 작업 메모와 함께 Playbook이 자동으로 업데이트됩니다.
      실패한 로그인 Playbook: 1단계
    2. 2단계에서는 Playbook이 업데이트되고 분석 상태로 이동됩니다.
    3. 3단계에서 Playbook은 영향을 받는 사용자가 활성 사용자인지 비활성 사용자인지 확인합니다. 사용자가 비활성 상태인 경우 사용자 계정이 비활성 상태인 보안 인시던트에 작업 메모가 추가됩니다.
      실패한 로그인 Playbook: 3단계
      주:
      플로우의 3단계에서 플로우는 에서 사용할 수 있는 ServiceNowsn_si_incident 테이블에서 비활성 사용자를 확인합니다. 이 단계는 지침으로 제공되며 특정 환경에 맞게 수정해야 합니다. 이 기능을 사용하려면 사용자 환경에서 Active Directory 통합을 설정하는 것이 좋습니다. Active Directory 통합을 확인하여 사용자 상태를 찾고 응답에 따라 플레이북의 다음 단계를 설계할 수 있습니다.

      Active Directory 통합이 없는 경우 이 단계를 보안 분석가가 IT 팀과 협력하여 사용자를 차단하고 플레이북의 나머지 단계를 진행하는 수동 작업으로 대체합니다.

    4. 4단계에서는 보안 인시던트에 대한 옵저버블을 검색합니다.
    5. 5단계에서는 옵저버블을 식별합니다.
    6. 옵저버블을 찾을 수 없는 경우 6단계에서 수동 응답 작업이 생성되고 플로우가 종료됩니다.
      실패한 로그인 Playbook: 6단계
    7. 7단계에서 옵저버블이 발견되면 허용되지 않는 옵저버블 목록이 식별됩니다.
    8. 하나 이상의 옵저버블이 허용되지 않는 목록인 경우 다음 단계가 수행됩니다.
      1. 8.1단계와 8.2단계가 실행됩니다. 옵저버블이 검색되고 자동화된 응답 작업이 시작됩니다.
        실패한 로그인 Playbook: 8.1단계 및 8.2단계
      2. 자동화된 작업이 생성되면 8.3단계(8.3.1.1 및 8.3.2.1)가 실행되고 옵저버블 보강 및 위협 조회 통합이 실행됩니다. 이는 Playbook에 포함된 하위 플로우입니다.
        실패한 Playbook 플로우: 8.3.1.1 및 8.3.1.2단계
      3. 8.4단계에서는 통합이 완료된 후 보안 인시던트 기록이 업데이트됩니다.
      4. 8.5단계에서는 다음에 발생할 자동화된 작업을 나타내는 새 응답 작업이 생성됩니다.
      5. 8.6단계에서는 관찰 가능 개체에 대해 사이팅 검색 통합이 실행됩니다.
        실패한 로그인 Playbook: 8.6단계
      6. 목격 검색 하위 플로우가 완료된 후 8.7단계에서 보안 인시던트가 업데이트됩니다.
      7. 8.8단계에서는 옵저버블이 악성인지 여부를 확인합니다.
      8. 옵저버블이 악성이 아니고 사용자 계정이 활성 상태인 경우 실패한 로그인 시도를 재확인하기 위해 사용자에게 자동 이메일이 전송됩니다. 옵저버블을 식별하고 보안 인시던트에 추가하기 위해 수동 응답 작업이 생성됩니다. 그런 다음 Playbook은 이 단계에서 종료됩니다.
      9. 옵저버블이 악성인 경우 다음 세 가지 응답 작업이 생성됩니다.
        1. 실패한 로그인 시도를 확인 (예 또는 아니요) 하기 위해 사용자에게 자동 이메일이 전송됩니다. 사용자가 '예'라고 응답하는 경우:
          1. 보안 인시던트 상태가 포함으로 업데이트됩니다.
          2. 암호를 재설정하라는 자동 이메일이 사용자에게 전송됩니다.
          3. 암호 재설정 하위 플로우가 시작되고 작업이 완료되면 사용자에게 이메일이 전송됩니다.
          주:
          암호 재설정 단계는 지침으로 제공됩니다. 플로우의 단계에서는 ServiceNow 시스템의 사용자 계정에 대한 암호를 재설정합니다. 그러나 암호를 재설정하는 프로세스는 환경에 따라 다를 수 있습니다. Active Directory 통합을 확인하여 사용자의 암호를 자동으로 재설정할 수 있습니다. Active Directory 통합이 없는 경우 이 단계를 수동 작업으로 대체하여 보안 분석가가 각 IT 팀과 협력하여 사용자 암호를 재설정하고 해당 작업을 완료한 후 Playbook의 나머지 단계를 진행합니다.
        2. 사용자가 아니요라고 응답하면 응답을 다시 확인하기 위해 사용자에게 자동 이메일이 전송됩니다. 보안 분석가는 적절한 조치를 수동으로 취해야 합니다.
        3. 사용자가 자동화된 전자 메일에 응답하지 않으면 보안 분석가가 보안 인시던트를 수동으로 업데이트하고 응답을 제공해야 합니다. 사용자 계정이 손상되었는지 확인하기 위해 수동 작업이 만들어집니다.

        실패한 로그인 Playbook: 8.10.2단계
    9. 8.10.3단계에서 보안 인시던트는 상태가 업데이트됩니다.
    10. 8.10.4단계에서는 악성 IP 및 URL에 대한 블록 요청 생성 기능 구현을 사용할 수 있는지 확인하기 위해 자동화된 작업이 생성됩니다. 역량 구현을 사용할 수 있는 경우 블록 요청 생성 하위 플로우가 실행됩니다. 이를 사용할 수 없는 경우 보안 인시던트가 업데이트되고 기능 구현을 사용할 수 없음을 나타내는 작업 메모가 게시됩니다.
    11. 9단계에서 보안 인시던트가 업데이트되고 상태가 검토로 설정됩니다.
    12. 10단계에서는 사용자가 작업을 종료하기 전에 사후 인시던트 검토를 완료할 수 있는 응답 작업이 생성됩니다.