Playbook pour un éventuel brouillage de mot de passe

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Ce playbook fournit des étapes de rattrapage systématiques pour enquêter sur les alertes de pulvérisation de mot de passe déclenchées par plusieurs échecs de connexion (trop d’échecs d’authentification à partir de plusieurs adresses IP pour le même utilisateur).

    Le workflow est créé à partir d’un playbook existant, ce qui fournit une approche cohérente et efficace pour l’enquête sur les incidents. Chaque point de décision du playbook a été converti en une tâche pilotée par les résultats, et le flux change de direction en fonction du résultat de ces tâches.

    Prise en main du playbook Possible Password Spray

    1. Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
    2. Accédez à la Tous > Concepteur de flux et sélectionnez le playbook Possible Password Spray .
    3. (Facultatif) Vous pouvez créer une copie du flux de playbook Possible Password Spray et apporter les modifications nécessaires. Pour créer une copie du flux du playbook, cliquez sur l’icône de menu Actions supplémentaires et sélectionnez Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.
      Figure 1. Playbook de pulvérisation de mot de passe possible
      Vue d’ensemble du playbook Password Spray possible
    4. Activez les playbooks.
      • Activez le flux principal pour utiliser le playbook disponible dans le système de base.
      • Activez les flux copiés après avoir apporté les modifications requises.
    Condition de déclenchement : ce playbook est déclenché et associé à l’incident de sécurité lorsque les conditions suivantes sont remplies :
    • La catégorie est Accès non autorisé.
    • La sous-catégorie est Tentatives de craquage de mot de passe par force brute.

    Condition de déclenchement pour le playbook Possible Password Spray.