Utiliser les tentatives VPN réussies à partir du playbook des comptes de service

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui suivent les tentatives de connexion réussies à partir de comptes de service via VPN. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans les tentatives réussies de VPN à partir du playbook des comptes de services.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, augmentez la priorité élevée de l’incident de sécurité et informez immédiatement votre gestionnaire.
    2. Dans l’Action 2, contactez le propriétaire du compte de services pour valider la justification commerciale.
      Vous pouvez utiliser le modèle d’e-mail fourni pour contacter le propriétaire du compte de service afin de valider la justification commerciale.
    3. Dans l’action 3, vérifiez si le propriétaire du compte de service a fourni une justification commerciale valide.
      Figure 1. Tentatives VPN réussies à partir des comptes de service – Playbook d’entreprise/cloud
      Tâche de réponse pour vérifier si le propriétaire du compte de service a fourni une justification commerciale valide.
    4. Dans l’action 4, si le propriétaire du compte de service a fourni une justification commerciale valide, procédez comme suit :
      1. Dans l’action 5, ajoutez l’adresse IP source à la liste d’autorisation si nécessaire.
      2. Dans Action 6, documentez les résultats obtenus jusqu’à présent.
      3. Dans l’Action 7, lancez une revue post-incident.
        Dans l’Action 8, après la revue post-incident, le flux se termine.
      Figure 2. Utilisation des tentatives VPN réussies à partir des comptes de services - Playbook d’entreprise/cloud
      Tâche de réponse pour vérifier si le propriétaire du compte de service a fourni une justification commerciale valide.
    5. Dans l’Action 9, si le propriétaire du compte de service n’a pas fourni de justification commerciale valide, procédez comme suit :
      1. Dans l’action 10, verrouillez temporairement le compte de service pendant que l’enquête se déroule.
      2. Dans l’action 11, réinitialisez les mots de passe du compte de service compromis.
      3. Dans l’action 12, vérifiez les journaux pour tous les types d’activités que le compte pourrait utiliser.
        Recherchez les journaux d’authentification tels que les journaux Active Directory, les journaux d’audit, les journaux Okta, les journaux Office 365, etc.
      4. Dans l’Action 13, recherchez les détails de certification de la machine utilisés pour vous authentifier avec l’aide de l’équipe d’assistance informatique.
      5. Dans l’action 14, lever le confinement et ramener les systèmes aux normes opérationnelles.
      6. Dans l’Action 15, terminez la revue post-incident avant de fermer la tâche.