Verwenden Sie das Playbook „Bash-Verlauf zum Löschen von Anwendern“.

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die darauf hinweisen, dass jemand versucht hat, die Bash-Verlaufsdatei von einem Linux-Server zu entfernen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook Anwenderlöschen des Bash-Verlaufs (.bash_history) verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, überprüfen Sie in Aktion 1, ob der Server eine Test- oder Demoinstanz ist.
    2. Wenn der Server in Aktion 2 keine Test- oder Demoinstanz ist, führen Sie die folgenden Schritte aus:
      1. Erfassen Sie in Aktion 3 die folgenden Informationen für die Warnung:
        • Anwendername
        • IP-Adresse
        • Böswillige Befehle, mit denen versucht wird, den Bash-Verlauf zu löschen
        • Alle vom Anwender ausgeführten Befehle, sofern in den CrowdStrike-Protokollen verfügbar.
      2. Melden Sie sich in Aktion 4 beim Server an, und führen Sie den letzten Befehl aus, um den zuletzt angemeldeten Anwender anzuzeigen.
      3. Identifizieren Sie in Aktion 5, ob seitliche Bewegungsaktivitäten vom Anwender aufgetreten sind (Quelle: Splunk, CrowdStrike, localhost).
      4. Überprüfen Sie in Aktion 6 die Aktivitäten im Zusammenhang mit diesen verdächtigen Aktionen.
        Abbildung : 1. Playbook zum Löschen des Bash-Verlaufs durch Anwender
        Antwortaufgabe zur Untersuchung der Aktivitäten rund um diese verdächtigen Aktionen.
      5. Setzen Sie in Aktion 7 die Arbeit mit Kollegen fort, und beziehen Sie den Regional Manager für die Reaktion auf Incidents in die Entscheidung ein, ob der Benutzer weiterhin überwacht werden soll.
      6. Bestimmen Sie in Aktion 8, ob die Aktivität schädlich ist oder nicht.
      7. Wenn die Aktivität in Aktion 9 schädlich ist, führen Sie die folgenden Schritte aus:
        1. Wenden Sie sich in Aktion 10 während der Untersuchung an den IT-Support, und fordern Sie ein Einfrieren des Accounts an.
        2. Stellen Sie in Aktion 11 sicher, dass die Instanz in einem normalen Zustand ohne schädliche Aktivitäten wiederhergestellt wird.
        3. In Aktion 12: Containment aufheben und Systeme wieder auf Betriebsstandard zurücksetzen.
        4. Initiieren Sie in Aktion 13 eine Überprüfung nach Incident.

          In Aktion 14 wird nach der Überprüfung nach Incident der Flow beendet.

        Abbildung : 2. Verwenden des Playbooks zum Löschen des Bash-Verlaufs von Anwendern
        Antwortaufgabe, um zu überprüfen, ob die Aktivität schädlich ist.
      8. Wenn in Aktion 15 die Aktivität nicht böswillig ist, wenden Sie sich in Aktion 16 an den Manager des Benutzers.
        Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Manager des Benutzers zu kontaktieren und ihn über den empfohlenen Ansatz zu informieren.
    3. Dokumentieren Sie in Aktion 17 die bisherigen Ergebnisse.
    4. Schließen Sie in Aktion 18 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.