Configurer le playbook de tentative d’accès au compte désactivé

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Procédez comme suit pour configurer le playbook de tentative d’accès au compte désactivé.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé Security Operations Spoke (sn_sec_spoke).

    Procédure

    1. Connectez-vous en tant qu’utilisateur avec les rôles sn_si.user et flow_designer.
    2. Accédez à la Tout > Concepteur de flux et sélectionnez le playbook Compte désactivé de tentative d’accès .
    3. Facultatif : Créer une copie du flux de playbook Compte désactivé de tentative d’accès et apporter les modifications nécessaires.

      Pour créer une copie du flux du playbook, sélectionnez l’icône de menu Actions supplémentaires , puis sélectionnez Copier le flux. Effectuez cette étape uniquement si vous prévoyez de personnaliser ou d’apporter des changements spécifiques au flux.

      Figure 1. Playbook de tentative d’accès aux comptes désactivés
      Vue d’ensemble du playbook de tentative d’accès aux comptes désactivés.
    4. Activez les playbooks.
      1. Activez le flux principal pour utiliser le playbook disponible dans le système de base.
      2. Activez les flux copiés après avoir apporté les changements requis.
    5. Définissez une condition de déclenchement pour le playbook.

      Ce playbook est déclenché lorsque l’incident de sécurité est créé ou mis à jour en fonction des conditions requises. Par exemple, lorsque la catégorie est Violation d’initié

      Figure 2. Tentative d’accès aux comptes désactivés Condition de déclenchement du Playbook
      Condition de déclenchement pour le playbook de tentative d’accès aux comptes désactivés.