Utiliser la tentative d’accès au playbook des comptes désactivés

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Utilisez ce playbook lorsqu’un employé dont le compte est résilié, désactivé ou séparé tente de se connecter avec ses informations d’identification. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook de tentatives d’accès aux comptes désactivés.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez si la tentative d’accès aux comptes désactivés a été effectuée par un utilisateur actif.
    2. Dans l’Action 2, vérifiez si la tentative d’accès aux comptes désactivés a été effectuée par un employé actif.
      Figure 1. Tentative d’accès au playbook des comptes désactivés
      Tâche de réponse pour vérifier si la tentative d’accès aux comptes désactivés a été effectuée par un employé actif.
    3. Si la tentative d’accès aux comptes désactivés a été effectuée par un employé actif, procédez comme suit :
      1. Dans l’action 3, vérifiez si l’utilisateur a eu un projet ou un scénario de test qui l’a amené à devenir un employé inactif.
      2. Dans l’action 4, si l’utilisateur n’a pas de projet ou de scénario de test qui l’a amené à devenir un employé inactif, collaborez avec l’équipe d’assistance informatique pour corriger la mauvaise configuration.
        Le flux se termine.
      3. Dans l’Action 5, si l’utilisateur disposait d’un projet ou d’un scénario de test qui l’a rendu un employé inactif, procédez comme suit :
        1. Dans Action 6, documentez les résultats obtenus jusqu’à présent.
        2. Dans l’Action 7, lancez une revue post-incident.

          Dans l’Action 8, après la revue post-incident, le flux se termine.

    4. Dans l’Action 9, si la tentative d’accès au compte désactivé n’a pas été effectuée par un employé actif, procédez comme suit :
      1. Dans l’action 10, vérifiez si l’utilisateur a réussi à se connecter.
      2. Dans l’Action 11, vérifiez quand l’employé a quitté l’entreprise.
      3. Dans l’action 12, examinez les événements sur Splunk pour examiner les activités de l’utilisateur au cours de la période.
      4. Dans l’action 13, sur la base de l’enquête menée jusqu’à présent, déterminez si l’utilisateur a exfiltré des données.
      5. Dans l’Action 14, si l’utilisateur n’a exfiltré aucune donnée, effectuez les étapes suivantes :
        1. Dans l’action 15, collaborez avec l’équipe d’assistance informatique pour mettre fin à toutes les sessions actives et désactiver les comptes.
        2. Dans l’action 16, documentez les résultats obtenus jusqu’à présent.
        3. Dans l’Action 17, lancez une revue post-incident.

        Dans l’action 18, après la revue post-incident, le flux se termine.

        Figure 2. Utilisation du playbook de tentative d’accès aux comptes désactivés
        Tâches de réponse si la tentative d’accès aux comptes désactivés n’a pas été effectuée par un employé actif
    5. Dans l’action 19, si l’utilisateur a exfiltré des données, effectuez les étapes suivantes :
      1. Dans l’action 20, verrouillez l’utilisateur malveillant et détruisez toutes les sessions actives.
      2. Dans l’Action 21, collaborez avec l’équipe d’assistance informatique pour désactiver tous les comptes.
      3. Dans l’Action 22, assurez-vous que les ressources sont restaurées à l’état normal et exemptes de toute activité malveillante.
        Vous pouvez réimager les ressources si nécessaire.
      4. Dans l’action 23, lever le confinement et ramener les systèmes aux normes opérationnelles.
      5. Dans l’Action 24, terminez la revue post-incident avant de fermer la tâche.