Verwenden Sie die OSquery of External Address im Playbook der Datei /etc/hosts

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die darauf hinweisen, dass ein interner Hostname oder eine Domäne einer externen IP-Adresse im lokalen DNS (/etc/hosts) eines Linux-Servers zugewiesen wurde. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die in der OSquery der externen Adresse im Playbook der Datei /etc/hosts verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, identifizieren Sie in Aktion 1 den Hostnamen oder Domänennamen, der der externen IP-Übersetzung entspricht, aus dem Rohprotokoll.
    2. Erfassen Sie in Aktion 2 die Details der IP-Adresse und des Hostnamens.
    3. Überprüfen Sie in Aktion 3, ob diese IP-Adresse zum öffentlichen/privaten IP-Bereich der internen Organisation gehört oder nicht.
      Abbildung : 1. OSquery der externen Adresse im Playbook der Datei /etc/hosts
      Antwortaufgabe, um zu überprüfen, ob diese IP-Adresse zum öffentlichen/privaten IP-Bereich der internen Organisation gehört.
    4. Wenn die IP-Adresse in Aktion 4 zum öffentlichen/privaten IP-Bereich der internen Organisation gehört, führen Sie die folgenden Schritte aus:
      1. Dokumentieren Sie in Aktion 5 die bisherigen Ergebnisse.
      2. Initiieren Sie in Aktion 6 eine Überprüfung nach Incidents.
        In Aktion 7 endet der Flow nach der Überprüfung nach Incidents.
    5. Wenn die IP-Adresse nicht zum öffentlichen/privaten IP-Bereich der internen Organisation gehört, identifizieren Sie in Aktion 8 den Benutzer, der sich während des Warnungszeitrahmens beim Server angemeldet hat.
    6. Wenn die IP-Adresse in Aktion 9 verdächtig erscheint, erstellen Sie ein IT-Ticket beim Besitzer oder beim Team des Servers, um die Konfiguration so bald wie möglich zu ändern.
    7. Überprüfen Sie in Aktion 10, ob vor und nach dem Hinzufügen des DNS-Eintrags schädliche Aktivitäten auf dem Server aufgetreten sind.
    8. Überprüfen Sie in Aktion 11 auf Verbindungen des Servers mit der externen IP-Adresse.
    9. Dokumentieren Sie in Aktion 12 die bisherigen Ergebnisse.
    10. Überprüfen Sie in Aktion 13, ob die Besitzer- oder Teaminformationen verfügbar sind.
    11. Wenn in Aktion 14 die Besitzer- oder Teaminformationen verfügbar sind, führen Sie die folgenden Schritte aus:
      1. Wenden Sie sich in Aktion 15 an den Besitzer oder das Team des Servers, um zu erfahren, ob sie die Aktivität erkennen.
        Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Besitzer oder das Team des Servers zu kontaktieren.
      2. Überprüfen Sie in Aktion 16, ob der Besitzer oder das Team eine gültige geschäftliche Begründung angegeben hat.
      3. Wenn der Besitzer oder das Team in Aktion 17 keine gültige geschäftliche Begründung angegeben hat, wird der Flow beendet.
        Wenn der Besitzer oder das Team jedoch eine gültige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
        1. Dokumentieren Sie in Aktion 18 die bisherigen Ergebnisse.
        2. Initiieren Sie in Aktion 19 eine Überprüfung nach Incidents.

          In Aktion 20 endet der Flow nach der Überprüfung nach dem Incident.

        Abbildung : 2. Verwenden der OSquery of External Address in /etc/hosts-Datei-Playbook
        Antwortaufgabe, um zu überprüfen, ob die Besitzer- oder Teaminformationen verfügbar sind.
    12. Wenn in Aktion 21 keine Besitzer- oder Teaminformationen verfügbar sind, isolieren Sie das Hostsystem.
    13. Setzen Sie in Aktion 22 die potenziell gefährdeten Anmeldeinformationen zurück.
    14. Blockieren Sie in Aktion 23 den Netzwerkzugriff auf den gefährdeten Host.
    15. Patchen Sie in Aktion 24 die betroffenen Geräte.
    16. In Aktion 25 heben Sie das Containment auf und bringen die Systeme wieder in den Betriebszustand.
    17. Schließen Sie in Aktion 26 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.