ユーザー削除 Bash 履歴 Playbook を使用する

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • 次の手順では、「ユーザーによる Bash 履歴の削除 (.bash_history)」Playbook で使用できるアクション、タスク、およびサブフローのウォークスルーを示します。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 でサーバーがテストインスタンスかデモインスタンスかを確認する必要があります。
    2. ステップ 2 で、サーバーがテストインスタンスまたはデモインスタンスでない場合は、次のステップを実行します。
      1. 手順 3 では、アラートに関する次の情報を収集する必要があります。
        • ユーザー名
        • IP アドレス
        • bash履歴を削除しようとする悪意のあるコマンド
        • ユーザーが実行したすべてのコマンド (CrowdStrike ログで利用可能な場合)。
      2. ステップ4では、サーバーにログインし、 最後の コマンドを実行して、最後にログインしたユーザーを表示する必要があります。
      3. ステップ 5 では、ユーザーからのラテラルムーブメントアクティビティがあったかどうかを特定する必要があります (出典:Splunk、CrowdStrike、localhost)。
      4. 手順 6 では、これらの疑わしいアクションの周囲で発生しているアクティビティを調べる必要があります。
        図 : 1. Bash 履歴 Playbook を削除するユーザー
        これらの不審なアクションの周辺で発生しているアクティビティを調査するための応答タスク。
      5. ステップ 7 では、ピアとの作業を続行し、インシデント対応地域マネージャーを関与させて、ユーザーの監視を継続するかどうかを決定する必要があります。
      6. 手順 8 では、アクティビティが悪意のあるものであるかどうかを判断する必要があります。
      7. 手順 9 で、アクティビティが悪意のある場合は、次の手順を実行します。
        1. ステップ 10 では、調査中に IT サポートに連絡してアカウントの凍結を要求します。
        2. ステップ 11 では、悪意のあるアクティビティがない通常の状態にインスタンスが復元されていることを確認する必要があります。
        3. ステップ 12 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
        4. ステップ 13 では、インシデントの事後レビューを開始するための応答を作成する必要があります。

          ステップ 14 では、インシデントの事後レビューの後、フローが終了します。

        図 : 2. ユーザー削除 Bash 履歴 Playbook の使用
        アクティビティが悪意のあるものかどうかを確認する応答タスク。
      8. ステップ 15 で、アクティビティが悪意のあるものでない場合は、ステップ 16 でユーザーのマネージャーに連絡する必要があります。
        提供されたメールテンプレートを使用してユーザーのマネージャーに連絡し、推奨されるアプローチについて知らせることができます。
    3. ステップ 17 では、これまでの結果を文書化するための応答タスクを作成する必要があります。
    4. ステップ 18 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。