Dieses Playbook enthielt systematische Korrekturschritte zur Untersuchung von Incidents, die erfolgreiche Anmeldeversuche von Servicekonten über VPN nachverfolgen. Servicekonten dürfen keine Anmeldeereignisse von einem VPN aufweisen, und solche Ereignisse können Indikatoren für Brute-Force oder eine mögliche Offenlegung der Anmeldeinformationen des Kontos sein.