Richten Sie das Playbook „Zugriffsversuche deaktivierter Account“ ein

  • Freigeben Version: Washingtondc
  • Aktualisiert 2. Februar 2024
  • 1 Minute Lesedauer

    • Führen Sie die folgenden Schritte aus, um das Playbook „Zugriffsversuche deaktivierter Account“ einzurichten.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie Security Operations Spoke (sn_sec_spoke) installiert haben.

    Prozedur

    1. Melden Sie sich als Benutzer mit den Rollen sn_si.user und flow_designer an.
    2. Navigieren zu Alle > Flow Designer und wählen Sie das Playbook „Zugriffsversuch deaktiviertes Konto “ aus.
    3. Erstellen Sie eine Kopie des Playbook-Flows für Zugriffsversuche mit deaktiviertem Account, und nehmen Sie die erforderlichen Änderungen vor.

      Um eine Kopie des Playbook-Flows zu erstellen, wählen Sie das Menüsymbol Weitere Aktionen und dann Flow kopierenaus. Führen Sie diesen Schritt nur aus, wenn Sie den Flow anpassen oder bestimmte Änderungen daran vornehmen möchten.

      Abbildung : 1. Playbook „Versuchter Zugriff auf deaktivierte Accounts“
      Übersicht über das Playbook „Versuchter Zugriff auf deaktivierte Accounts“.
    4. Aktivieren Sie die Playbooks.
      1. Aktivieren Sie den Haupt-Flow, um das im Basissystem verfügbare Playbook zu verwenden.
      2. Aktivieren Sie die kopierten Flows, nachdem Sie die erforderlichen Änderungen vorgenommen haben.
    5. Auslöserbedingung: Dieses Playbook wird ausgelöst, wenn der Security Incident basierend auf Ihren erforderlichen Bedingungen erstellt oder aktualisiert wird.

      Zum Beispiel, wenn die Kategorie„Innerer Verstoß“ist

      Abbildung : 2. Auslöserbedingung für Playbook „Versuchter Zugriff auf deaktivierte Accounts“.
      Auslöserbedingung für das Playbook „Versuchter Zugriff auf deaktivierte Accounts“.