사용자 삭제 Bash 히스토리 플레이북 사용

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 1분

    • 이 플레이북을 사용하여 누군가가 Linux 서버에서 bash 기록 파일을 제거하려고 시도했는지 여부를 나타내는 인시던트를 조사합니다. 다음 단계에서는 사용자 Bash 기록 삭제(.bash_history) 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 서버가 테스트 인스턴스인지 데모 인스턴스인지 확인합니다.
    2. 작업 2에서 서버가 테스트 또는 데모 인스턴스가 아닌 경우 다음 단계를 수행합니다.
      1. 작업 3에서는 경보에 대한 다음 정보를 수집합니다.
        • 사용자 이름
        • IP 주소
        • bash 이력을 삭제하려는 악의적인 명령
        • CrowdStrike 로그에서 사용 가능한 경우 사용자가 실행하는 모든 명령입니다.
      2. 작업 4에서 서버에 로그인하고 마지막 명령을 실행하여 가장 최근에 로그인한 사용자를 봅니다.
      3. 작업 5에서 사용자의 횡적 이동 활동이 있었는지 확인합니다(출처: Splunk, CrowdStrike, localhost).
      4. 작업 6에서는 이러한 수상한 작업 주변에서 발생하는 활동을 검토합니다.
      5. 작업 7에서는 동료와 계속 협력하고 사용자를 계속 모니터링할지 여부를 결정하는 데 인시던트 응답 지역 관리자의 참여를 유도합니다.
      6. 작업 8에서는 활동이 악성인지 아닌지 확인합니다.
      7. 작업 9에서 활동이 악성인 경우 다음 단계를 수행합니다.
        1. 작업 10에서는 조사 중에 IT 지원에 연락하여 계정 동결을 요청합니다.
        2. 작업 11에서는 인스턴스가 악의적인 활동이 없는 정상 상태로 복원되었는지 확인합니다.
        3. 작업 12에서는 봉쇄를 해제하고 시스템을 운영 표준으로 되돌립니다.
        4. 작업 13에서 사후 인시던트 검토를 시작합니다.

          작업 14에서는 사후 인시던트 검토가 완료되면 플로우가 종료됩니다.

      8. 작업 15에서 활동이 악의적이지 않은 경우 작업 16에서 사용자의 관리자에게 연락합니다.
        제공된 이메일 템플릿을 사용하여 사용자의 관리자에게 연락하고 권장 접근 방식에 대해 알릴 수 있습니다.
    3. 작업 17에서 지금까지의 결과를 문서화합니다.
    4. 작업 18에서 사후 인시던트 검토를 완료한 후 작업을 종결하십시오.