暂停或禁用用户

您可以使用来自Active Directory或OKTA的工作流自动暂停或禁用用户。例如,您可能想要在此时执行此操作洞察力打开对可疑活动的调查,例如当用户访问受限制的资产时。

在你开始之前

安装后洞察编排器,请确保您配置了适当的连接到您的工作流所需的第三方工具。

使用OKTA暂停用户

暂停用户可防止它们登录OKTA。相反,他们将收到他们的帐户被暂停的通知。

申请和团体成员资格在暂停期间保持不变。

要了解更多关于Okta如何暂停用户的信息,请参见https://help.okta.com/en/prod/Content/Topics/Directory/Directory_People.htm.

要挂起okta的用户:

  1. 从InsightIDR主页中,选择调查从左菜单。
  2. 打开所需的调查。您将看到涉及用户的事件的时间表。
  3. 点击采取行动按钮。出现“采取行动”面板。
  4. 从“选择动作类别”下拉列表中,选择遏制工作流程.
  5. 从“选择要执行的自动化操作”下拉列表中,选择暂停用户在Okta.
  6. 选择要使用的OKTA连接,然后单击“继续”。
  7. 选择要挂起的用户帐户。
  8. 点击采取行动.
  9. 人工决策通知将显示在您的时间表上。点击是的以确认自动操作。

Okta现在将阻止用户登录,并通知他们其帐户已暂停。此操作的时间线上将出现一个项目。

毫无疑问

解决调查后,可以使用反向工作流解除对用户的挂起。

要取消对用户的挂起,请执行以下操作:

  1. 从InsightIDR主页中,选择调查从左菜单。
  2. 打开所需的调查。您将看到涉及用户的事件的时间表。
  3. 点击采取行动按钮。出现“采取行动”面板。
  4. 从“选择动作类别”下拉列表中,选择遏制工作流程.
  5. 从“选择要执行的自动化操作”下拉列表中,选择未批准OKTA的用户.
  6. 选择要使用的OKTA连接,然后单击“继续”。
  7. 选择您要销售的用户帐户。
  8. 点击采取行动.
  9. 人工决策通知将显示在您的时间表上。点击是的以确认自动操作。

当进程完成时,事件将显示在调查时间表上。

使用Active Directory禁用用户

禁用Active Directory中的用户会阻止他们对基于Active Directory的服务进行身份验证。暂停生效,直到您重新启用他们的帐户。

要了解有关Active Directory如何禁用用户的更多信息,请参阅https://docs.microsoft.com/en-us/windows/desktop/AD/managing-users.

要使用Active Directory禁用用户,请执行以下操作:

  1. 从InsightIDR主页中,选择调查从左菜单。
  2. 打开所需的调查。您将看到涉及用户的事件的时间表。
  3. 点击采取行动按钮。出现“采取行动”面板。
  4. 从“选择动作类别”下拉列表中,选择遏制工作流程.
  5. 从“选择要执行的自动化操作”下拉列表中,选择禁用Active Directory用户.
  6. 选择要使用的Active Directory连接。
  7. 选择要挂起的用户帐户。
  8. 点击采取行动。
  9. 人工决策通知将显示在您的时间表上。点击是的以确认自动操作。

此操作完成后,InsightIDR将使用Active Directory中已禁用的用户帐户日志,并将该用户标记为已禁用。

启用用户

解决调查后,您可以重新启用用户并允许它们再次进行身份验证和访问环境。

启用具有Active Directory的用户:

  1. 从InsightIDR主页中,选择调查从左菜单。
  2. 打开所需的调查。您将看到涉及用户的事件的时间表。
  3. 点击采取行动按钮。出现“采取行动”面板。
  4. 从“选择动作类别”下拉列表中,选择遏制工作流程.
  5. 从“选择要执行的自动化操作”下拉列表中,选择使用Active Directory启用用户.
  6. 选择要使用的Active Directory连接。
  7. 选择要挂起的用户帐户。
  8. 点击采取行动。
  9. 人工决策通知将显示在您的时间表上。点击是的以确认自动操作。

当进程完成时,事件将显示在调查时间表上。