Use as tentativas de VPN bem-sucedidas do playbook de contas de serviço

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Use este playbook para investigar incidentes que rastreiam tentativas de login bem-sucedidas de contas de serviço por meio de VPN. As etapas a seguir fornecem instruções das ações, tarefas e subfluxos que estão disponíveis nas Tentativas de VPN bem-sucedidas do playbook de Contas de serviço.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, eleve o incidente de segurança para alta prioridade e notifique imediatamente o seu gerente.
    2. Na Ação 2, entre em contato com o proprietário da conta de serviço para validar a justificativa de negócio.
      Você pode usar o modelo de e-mail fornecido para entrar em contato com o proprietário da conta de serviço para validar a justificativa de negócios.
    3. Na Ação 3, verifique se o proprietário da conta de serviço forneceu uma justificativa de negócio válida.
      Figura 1. Tentativas de VPN bem-sucedidas de Contas de serviço - Playbook de Corp/Nuvem
      Tarefa de resposta para verificar se o proprietário da conta de serviço forneceu uma justificativa de negócio válida.
    4. Na Ação 4, se o proprietário da conta de serviço forneceu uma justificativa de negócio válida, execute as seguintes etapas:
      1. Na Ação 5, adicione o IP de origem à lista de permissões, se necessário.
      2. Na Ação 6, documente as descobertas até o momento.
      3. Na Ação 7, inicie uma análise pós-incidente.
        Na Ação 8, após a análise pós-incidente, o fluxo termina.
      Figura 2. Como usar as tentativas de VPN bem-sucedidas das contas de serviço - Playbook de Corp/Nuvem
      Tarefa de resposta para verificar se o proprietário da conta de serviço forneceu uma justificativa de negócios válida.
    5. Na Ação 9, se o proprietário da conta de serviço não tiver fornecido uma justificativa de negócio válida, execute as seguintes etapas:
      1. Na Ação 10, bloqueie temporariamente a conta de serviço enquanto a investigação ocorre.
      2. Na Ação 11, redefina as senhas da conta de serviço comprometida.
      3. Na Ação 12, verifique os logs de todos os tipos de atividade que a conta pode usar.
        Procure logs de autenticação, como logs do Active Directory, logs de auditoria, logs do Okta, logs do Office 365 e assim por diante.
      4. Na Ação 13, encontre os detalhes de certificação da máquina usados para autenticar com a assistência da equipe de suporte de TI.
      5. Na Ação 14, remova a contenção e traga os sistemas de volta aos padrões operacionais.
      6. Na Ação 15, conclua a revisão pós-incidente antes de fechar a tarefa.