本情境的責任是演練支援流程中的身份敏感資料處置。它以 Okta 2023 support token case 為來源,轉成中性的 SaaS 支援系統 tabletop。

Scenario Trigger

支援系統出現大量附件下載,同一時間有客戶回報管理員 session 異常。SOC 在 identity provider log 中看到高權限 session 從不常見位置延續使用。

Initial Hypothesis

假設驗證資料
支援附件含 session tokenHAR 檔、附件下載紀錄、支援 ticket
token 已被重放identity log、session metadata、device fingerprint
客戶側先偵測到異常customer report、support timeline、通報紀錄

Control Surface

控制面包含 support workflow、session management、token revocation、customer communication 與 ownership

Response Route

  1. Triage:確認支援附件是否含敏感 session 資料。
  2. Severity:依受影響 tenant、權限等級與 token 可用性分級。
  3. Owner:identity owner 主責,support owner 與 incident commander 協作。
  4. Containment:撤銷 session、鎖定附件下載、通知受影響客戶。
  5. Write-back:更新支援附件處理、HAR sanitizer、customer notification 與 runbook。

Evidence Target

證據用途
support ticket access log回查誰下載附件
identity session log判斷 session 使用範圍
customer report timeline對齊外部通報與內部偵測時序
token revocation record證明 containment 完成

Write-back Target