/etc/hosts 파일 플레이북에서 외부 주소의 OSquery 사용

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • 이 플레이북을 사용하여 내부 호스트 이름 또는 도메인이 Linux 서버의 로컬 DNS(/etc/hosts)에 있는 외부 IP 주소에 할당되었음을 나타내는 인시던트를 조사합니다. 다음 단계에서는 /etc/hosts 파일 플레이북의 외부 주소 OSquery에서 사용할 수 있는 조치, 작업 및 하위 플로우에 대한 검토 과정을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 원시 로그의 외부 IP 변환에 해당하는 호스트 이름 또는 도메인 이름을 식별합니다.
    2. 작업 2에서 IP 주소 및 호스트 이름에 대한 세부 정보를 수집합니다.
    3. 작업 3에서 이 IP 주소가 내부 조직의 퍼블릭/프라이빗 IP 범위에 속하는지 여부를 확인합니다.
      그림 1. OS/etc/hosts 파일 플레이북의 외부 주소 쿼리
      이 IP 주소가 내부 조직의 공용/개인 IP 범위에 속하는지 여부를 확인하기 위한 응답 작업입니다.
    4. 작업 4에서 IP 주소가 내부 조직의 공용/개인 IP 범위에 속하는 경우 다음 단계를 수행합니다.
      1. 작업 5에서는 지금까지의 결과를 문서화합니다.
      2. 작업 6에서 사후 인시던트 검토를 시작합니다.
        작업 7에서는 사후 인시던트 검토 후 플로우가 종료됩니다.
    5. IP 주소가 내부 조직의 퍼블릭/프라이빗 IP 범위에 속하지 않는 경우 작업 8에서 경보 기간 동안 서버에 로그인한 사용자를 식별합니다.
    6. 작업 9에서 IP 주소가 의심스러운 경우 소유자 또는 서버 팀에 IT 티켓을 제기하여 가능한 한 빨리 구성을 변경합니다.
    7. 작업 10에서 DNS 항목을 추가하기 전과 후에 서버에 악의적인 활동이 있었는지 확인합니다.
    8. 작업 11에서 서버에서 외부 IP 주소에 대한 연결을 확인합니다.
    9. Action 12에서는 지금까지의 결과를 문서화합니다.
    10. 작업 13에서 소유자 또는 팀 정보를 사용할 수 있는지 여부를 확인합니다.
    11. 작업 14에서 소유자 또는 팀 정보를 사용할 수 있는 경우 다음 단계를 수행합니다.
      1. 작업 15에서 소유자 또는 서버 팀에 연락하여 활동을 인식하는지 확인합니다.
        제공된 이메일 템플릿을 사용하여 소유자 또는 서버 팀에 문의할 수 있습니다.
      2. 작업 16에서 소유자 또는 팀이 유효한 비즈니스 정당성을 제공했는지 여부를 확인합니다.
      3. 작업 17에서 제공된 소유자 또는 팀이 유효한 비즈니스 정당성을 제공하지 않으면 플로우가 종료됩니다.
        그러나 소유자 또는 팀이 유효한 비즈니스 정당성을 제공한 경우 다음 단계를 수행합니다.
        1. Action 18에서는 지금까지의 결과를 문서화합니다.
        2. 작업 19에서 사후 인시던트 검토를 시작합니다.

          작업 20에서는 사후 인시던트 검토 후 플로우가 종료됩니다.

        그림 2. /etc/hosts 파일 플레이북에서 외부 주소의 OSquery 사용
        소유자 또는 팀 정보를 사용할 수 있는지 확인하기 위한 응답 작업입니다.
    12. 작업 21에서 소유자 또는 팀 정보를 사용할 수 없는 경우 호스트 시스템을 격리합니다.
    13. 작업 22에서 잠재적으로 손상된 자격 증명을 재설정합니다.
    14. 작업 23에서 손상된 호스트에 대한 네트워크 액세스를 차단합니다.
    15. Action 24에서 영향을 받는 장치를 패치합니다.
    16. 액션 25에서는 봉쇄를 해제하고 시스템을 운영 표준으로 되돌립니다.
    17. 작업 26에서 작업을 종결하기 전에 사후 인시던트 검토를 완료합니다.