Utiliser le playbook d’historique Bash de suppression par l’utilisateur

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • utilisez ce playbook pour enquêter sur les incidents qui indiquent si quelqu’un essayait de supprimer le fichier d’historique bash d’un serveur Linux. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook Suppression par l’utilisateur de l’historique Bash (.bash_history).

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez si le serveur est une instance de test ou de démonstration.
    2. Dans l’Action 2, si le serveur n’est pas une instance de test ou de démonstration, procédez comme suit :
      1. Dans l’action 3, collectez les informations suivantes pour l’alerte :
        • Nom d'utilisateur
        • Adresse IP
        • Commandes malveillantes tentant de supprimer l’historique bash
        • Toutes les commandes exécutées par l’utilisateur, si elles sont disponibles dans les journaux CrowdStrike.
      2. Dans l’action 4, connectez-vous au serveur et exécutez la dernière commande pour afficher le dernier utilisateur connecté.
      3. Dans l’Action 5, identifiez s’il y a eu des activités de mouvement latéral de la part de l’utilisateur (Source : Splunk, CrowdStrike, localhost).
      4. Dans l’Action 6, examinez les activités qui se déroulent autour de ces actions suspectes.
        Figure 1. Suppression d’un playbook d’historique Bash par l’utilisateur
        Tâche de réponse pour examiner les activités se produisant autour de ces actions suspectes.
      5. Dans l’Action 7, continuez à travailler avec vos pairs et impliquez le responsable régional de réponse aux incidents pour décider s’il faut continuer à surveiller l’utilisateur.
      6. Dans Action 8, déterminez si l’activité est malveillante ou non.
      7. Dans Action 9, si l’activité est malveillante, effectuez les étapes suivantes :
        1. Dans l’action 10, au cours de l’enquête, contactez l’assistance informatique et demandez le gel du compte.
        2. Dans l’action 11, assurez-vous que l’instance est restaurée à un état normal exempt d’activité malveillante.
        3. Dans l’action 12, lever le confinement et ramener les systèmes aux normes opérationnelles.
        4. Dans l’Action 13, lancez une revue post-incident.

          Dans l’action 14, après la revue post-incident, le flux se termine.

        Figure 2. Utilisation du playbook d’historique Bash par l’utilisateur
        Tâche de réponse pour vérifier si l’activité est malveillante.
      8. Dans l’Action 15, si l’activité n’est pas malveillante, dans l’Action 16, contactez le gestionnaire de l’utilisateur.
        Vous pouvez utiliser le modèle d’e-mail fourni pour contacter le responsable de l’utilisateur et l’informer de l’approche recommandée.
    3. Dans Action 17, documentez les résultats obtenus jusqu’à présent.
    4. Dans l’Action 18, terminez la revue post-incident avant de fermer la tâche.