/etc/hosts ファイル Playbook の外部アドレスの OSquery を使用する

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む3読むのに数分

    • 次のステップは、/etc/hosts ファイル Playbook の外部アドレスの OSquery で使用できるアクション、タスク、およびサブフローのウォークスルーを示しています。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。

    手順

    1. Playbook がトリガーされて実行が開始されたら、ステップ 1 で、生のログからの外部 IP 変換に対応するホスト名またはドメイン名を特定する必要があります。
    2. ステップ2では、IPアドレスとホスト名の詳細を収集する必要があります。
    3. ステップ3では、このIPアドレスが内部組織のパブリック/プライベートIP範囲に属しているかどうかを確認する必要があります。
      図 : 1. /etc/hosts ファイル Playbook 内の外部アドレスの OSquery
      この IP アドレスが内部組織のパブリック/プライベート IP 範囲に属しているかどうかを確認する応答タスク。
    4. 手順 4 で、IP アドレスが内部組織のパブリック/プライベート IP 範囲に属している場合は、次の手順を実行します。
      1. ステップ 5 では、これまでの結果を文書化するための応答タスクを作成する必要があります。
      2. ステップ 6 では、インシデントの事後レビューを開始するための応答を作成する必要があります。
        ステップ 7 では、インシデントの事後レビューの後、フローが終了します。
    5. IP アドレスが内部組織のパブリック/プライベート IP 範囲に属していない場合は、手順 8 で、アラートの期間中にサーバーにログインしたユーザーを特定する必要があります。
    6. ステップ9で、IPアドレスが疑わしいと思われる場合は、所有者またはサーバーのチームにITチケットを発行して、できるだけ早く構成を変更する必要があります。
    7. 手順 10 では、DNS エントリを追加する前と後に、サーバーに悪意のあるアクティビティがあったかどうかを確認する必要があります。
    8. ステップ 11 では、サーバーから外部 IP アドレスへの接続を確認する必要があります。
    9. ステップ 12 では、これまでの結果を文書化するための応答タスクを作成する必要があります。
    10. ステップ13では、所有者またはチームの情報が利用可能かどうかを確認する必要があります。
    11. 手順 14 で、所有者またはチームの情報が使用可能な場合は、次の手順を実行します。
      1. ステップ 15 では、所有者またはサーバーのチームに連絡して、アクティビティを認識しているかどうかを確認する必要があります。
        提供されたメールテンプレートを使用して、所有者またはサーバーのチームに連絡できます。
      2. ステップ 16 では、所有者またはチームが有効な業務上の正当な理由を提供したかどうかを確認する必要があります。
      3. ステップ 17 で、指定された所有者またはチームが有効な業務上の正当な理由を提供しなかった場合、フローは終了します。
        ただし、所有者またはチームが有効な業務上の正当な理由を提供した場合は、次の手順を実行します。
        1. ステップ 18 では、これまでの結果を文書化するための応答タスクを作成する必要があります。
        2. ステップ 19 では、インシデントの事後レビューを開始するための応答を作成する必要があります。

          ステップ 20 では、インシデントの事後レビューの後、フローが終了します。

        図 : 2. /etc/hosts ファイル Playbook 内の外部アドレスの OSquery の使用
        オーナーまたはチームの情報が利用可能かどうかを確認する応答タスク。
    12. ステップ 21 で、所有者またはチームの情報が使用できない場合は、ホスト システムを分離する必要があります。
    13. ステップ 22 では、侵害された可能性のある資格情報をリセットする必要があります。
    14. ステップ23では、侵害されたホストへのネットワークアクセスをブロックする必要があります。
    15. ステップ24では、影響を受けるデバイスにパッチを適用する必要があります。
    16. ステップ 25 では、封じ込めを解除し、システムを運用標準に戻す必要があります。
    17. ステップ 26 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。