Use o playbook de histórico de bash para exclusão de usuário

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Use este playbook para investigar incidentes que indicam se alguém tentou remover o arquivo de histórico bash de um servidor Linux. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook Excluir usuário do histórico de bash (.bash_history).

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, verifique se o servidor é uma instância de teste ou de demonstração.
    2. Na Ação 2, se o servidor não for uma instância de teste ou de demonstração, execute as seguintes etapas:
      1. Na Ação 3, colete as seguintes informações para o alerta:
        • Nome do usuário
        • Endereço IP
        • Comandos maliciosos que tentam excluir o histórico de bash
        • Todos os comandos executados pelo usuário, se disponíveis nos logs do CrowdStrike.
      2. Na Ação 4, faça login no servidor e execute o último comando para exibir o usuário conectado mais recentemente.
      3. Na Ação 5, identifique se houve atividades de movimento lateral do usuário (Origem: Splunk, CrowdStrike, localhost).
      4. Na Ação 6, examine as atividades que ocorrem em torno dessas ações suspeitas.
        Figura 1. Playbook de histórico de bash para exclusão de usuário
        Tarefa de resposta para examinar as atividades que ocorrem em torno dessas ações suspeitas.
      5. Na Ação 7, continue trabalhando com colegas e envolva o gerente regional de resposta a incidentes na decisão de continuar o monitoramento do usuário.
      6. Na Ação 8, determine se a atividade é mal-intencionada ou não.
      7. Na Ação 9, se a atividade for mal-intencionada, execute as seguintes etapas:
        1. Na Ação 10, durante a investigação, entre em contato com o Suporte de TI e solicite o congelamento de conta.
        2. Na Ação 11, certifique-se de que a instância seja restaurada para um estado normal livre de atividades mal-intencionadas.
        3. Na Ação 12, remova a contenção e traga os sistemas de volta aos padrões operacionais.
        4. Na Ação 13, inicie uma análise pós-incidente.

          Na Ação 14, após a análise pós-incidente, o fluxo termina.

        Figura 2. Usando o playbook de histórico de bash para exclusão de usuário
        Tarefa de resposta para verificar se a atividade é mal-intencionada.
      8. Na Ação 15, se a atividade não for mal-intencionada, na Ação 16, entre em contato com o gerente do usuário.
        Você pode usar o modelo de e-mail fornecido para entrar em contato com o gerente do usuário e informá-lo sobre a abordagem recomendada.
    3. Na Ação 17, documente as descobertas até o momento.
    4. Na Ação 18, conclua a revisão pós-incidente antes de fechar a tarefa.