Автоматическое отключение пользователей Active Directory после неудачных попыток входа в систему ...

Описание: В этом видео я подробно описываю сквозную автоматизацию SOAR с открытым исходным кодом, которая автоматически отключает учетную запись пользователя Active Directory после чрезмерного количества неудачных попыток входа в систему.

Мы используем Wazuh для обнаружения множественных неудачных попыток входа в Windows (правило ID 60204), Graylog для оповещения об этом обнаружении и отправки ключевых полей через веб-перехватчик, а также Shuffle SOAR для организации ответа путем вызова API-интерфейса FastAPI Active Directory Response, который отключает пользователя через LDAP.

Что вы узнаете:
• Как Wazuh обнаруживает множественные сбои аутентификации (и что запускает оповещение)

• Как создать определение события Graylog, соответствующее обнаружению, и извлечь целевое имя пользователя + исходный IP-адрес

• Как отправлять оповещения Graylog в Shuffle через HTTP-уведомление

• Почему расположение среды выполнения Shuffle важно для интеграции с локальными лабораториями (доступ к AD)

• Как приложение FastAPI отключает учетные записи с помощью LDAP (userAccountControl)

• Как проверить, отключена ли учетная запись в Active Directory Users and Computers

Обзор рабочего процесса (последовательность действий):

1. Wazuh обнаруживает множественные неудачные попытки входа для пользователя (60204)

2. Graylog сопоставляет событие и запускает уведомление

3. Graylog отправляет веб-перехватчик в Shuffle (имя пользователя + исходный IP-адрес)

4. Shuffle вызывает конечную точку FastAPI для отключения учетной записи

5. FastAPI подключается к AD через LDAP и отключает пользователя

6. Действия регистрируются для аудита и Устранение неполадок

Репозиторий GitHub

Приложение FastAPI (включая Docker Compose и конфигурацию) доступно в репозитории GitHub, ссылка на который приведена ниже.

Нужна помощь в создании автоматизаций?

Если вы хотите внедрить эту автоматизацию в свою среду — или у вас есть другие сценарии использования SOC/SOAR, которые вы хотите автоматизировать, — свяжитесь с SOCFortress, используя форму обратной связи, ссылка на которую приведена ниже.

Ссылки

• Репозиторий GitHub: https://github.com/socfortress/ACTIVE...

• Форма обратной связи SOCFortress: https://www.socfortress.co/contact-us

• Статья в блоге Medium:   / automating-active-directory-account-disabl...  

#SOAR #ActiveDirectory #Wazuh #Graylog #Shuffle #SOCAutomation #IncidentResponse #CyberSecurity