/etc/hosts 파일 플레이북에서 외부 주소의 OSquery 사용

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 이 플레이북을 사용하여 내부 호스트 이름 또는 도메인이 Linux 서버의 로컬 DNS(/etc/hosts)에 있는 외부 IP 주소에 할당되었음을 나타내는 인시던트를 조사합니다. 다음 단계에서는 /etc/hosts 파일 플레이북에 있는 외부 주소의 OSquery에서 사용할 수 있는 조치, 태스크 및 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. Playbook이 트리거되고 실행이 시작되면 작업 1에서 원시 로그에서 외부 IP 변환에 해당하는 호스트 이름 또는 도메인 이름을 식별합니다.
    2. 작업 2에서 IP 주소 및 호스트 이름의 세부 정보를 수집합니다.
    3. 작업 3에서 이 IP 주소가 내부 조직의 공용/개인 IP 범위에 속하는지 확인합니다.
      그림 1. /etc/hosts 파일 플레이북에서 외부 주소의 OSquery
      이 IP 주소가 내부 조직의 퍼블릭/프라이빗 IP 범위에 속하는지 여부를 확인하는 응답 작업입니다.
    4. 작업 4에서 IP 주소가 내부 조직의 공용/개인 IP 범위에 속하는 경우 다음 단계를 수행합니다.
      1. 작업 5에서 지금까지의 결과를 문서화합니다.
      2. 작업 6에서 인시던트 사후 검토를 시작합니다.
        작업 7에서는 사후 인시던트 검토 후 플로우가 종료됩니다.
    5. IP 주소가 내부 조직의 퍼블릭/프라이빗 IP 범위에 속하지 않는 경우 작업 8에서 경고 기간 동안 서버에 로그인한 사용자를 식별합니다.
    6. 작업 9에서 IP 주소가 의심스러운 것 같으면 소유자 또는 서버 팀에 IT 티켓을 제기하여 가능한 한 빨리 구성을 변경합니다.
    7. 작업 10에서 DNS 항목을 추가하기 전과 후에 서버에 악의적인 활동이 있었는지 확인합니다.
    8. 작업 11에서 서버의 외부 IP 주소에 대한 연결을 확인합니다.
    9. 작업 12에서 지금까지의 결과를 문서화합니다.
    10. 작업 13에서 소유자 또는 팀 정보를 사용할 수 있는지 여부를 확인합니다.
    11. 작업 14에서 소유자 또는 팀 정보를 사용할 수 있는 경우 다음 단계를 수행합니다.
      1. 작업 15에서 소유자 또는 서버 팀에 연락하여 활동을 인식하는지 확인합니다.
        제공된 이메일 템플릿을 사용하여 소유자 또는 서버 팀에 문의할 수 있습니다.
      2. 작업 16에서 소유자 또는 팀이 유효한 비즈니스 정당성을 제공했는지 여부를 확인합니다.
      3. 작업 17에서 제공된 소유자 또는 팀이 유효한 비즈니스 정당성을 제공하지 않은 경우 플로우가 종료됩니다.
        그러나 소유자 또는 팀이 유효한 비즈니스 정당성을 제공한 경우 다음 단계를 수행합니다.
        1. 조치 18에서 지금까지의 결과를 문서화합니다.
        2. 작업 19에서 사후 인시던트 검토를 시작합니다.

          작업 20에서는 사후 인시던트 검토 후 플로우가 종료됩니다.

        그림 2. /etc/hosts 파일 플레이북에서 외부 주소의 OSquery 사용
        소유자 또는 팀 정보를 사용할 수 있는지 여부를 확인하는 응답 작업입니다.
    12. 작업 21에서 소유자 또는 팀 정보를 사용할 수 없는 경우 호스트 시스템을 격리합니다.
    13. 작업 22에서 잠재적으로 손상된 자격 증명을 다시 설정합니다.
    14. 작업 23에서 손상된 호스트에 대한 네트워크 액세스를 차단합니다.
    15. 작업 24에서 영향을 받는 장치를 패치합니다.
    16. 조치 25에서는 봉쇄를 해제하고 시스템을 작동 표준으로 되돌립니다.
    17. 작업 26에서 작업을 종료하기 전에 사후 인시던트 검토를 완료합니다.