사용자 삭제 Bash 기록 플레이북 사용

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 이 플레이북을 사용하여 누군가가 Linux 서버에서 bash 기록 파일을 제거하려고 했는지 여부를 나타내는 인시던트를 조사합니다. 다음 단계에서는 사용자 삭제 Bash 기록(.bash_history) 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 연습을 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 서버가 테스트 인스턴스인지 데모 인스턴스인지 확인합니다.
    2. 작업 2에서 서버가 테스트 또는 데모 인스턴스가 아닌 경우 다음 단계를 수행합니다.
      1. 작업 3에서 경보에 대한 다음 정보를 수집합니다.
        • 사용자 이름
        • IP 주소
        • bash 기록을 삭제하려는 악의적인 명령
        • 사용자가 실행하는 모든 명령(CrowdStrike 로그에서 사용 가능한 경우)
      2. 작업 4에서 서버에 로그인하고 마지막 명령을 실행하여 가장 최근에 로그인한 사용자를 확인합니다.
      3. 작업 5에서 사용자의 횡적 이동 활동이 있었는지 확인합니다(출처: Splunk, CrowdStrike, localhost).
      4. 작업 6에서는 이러한 의심스러운 작업 주변에서 발생하는 활동을 조사합니다.
        그림 1. 사용자가 Bash 이력 Playbook을 삭제하는 중
        이러한 의심스러운 작업 주변에서 발생하는 활동을 조사하기 위한 응답 작업입니다.
      5. 작업 7에서는 동료와 계속 협력하고 인시던트 응답 지역 관리자가 사용자를 계속 모니터링할지 여부를 결정하도록 합니다.
      6. 작업 8에서 활동이 악의적인지 여부를 확인합니다.
      7. 작업 9에서 활동이 악의적인 경우 다음 단계를 수행합니다.
        1. 작업 10에서는 조사 중에 IT 지원에 문의하여 계정 동결을 요청합니다.
        2. 작업 11에서 인스턴스가 악의적인 활동이 없는 정상 상태로 복원되었는지 확인합니다.
        3. 조치 12에서는 봉쇄를 해제하고 시스템을 운영 표준으로 되돌립니다.
        4. 작업 13에서 사후 인시던트 검토를 시작합니다.

          작업 14에서는 사후 인시던트 검토 후 플로우가 종료됩니다.

        그림 2. 사용자 삭제 Bash 기록 플레이북 사용
        활동이 악의적인지 확인하기 위한 응답 작업입니다.
      8. 작업 15에서 활동이 악의적이지 않은 경우 작업 16에서 사용자의 관리자에게 연락합니다.
        제공된 이메일 템플릿을 사용하여 사용자의 관리자에게 연락하여 권장되는 접근 방식에 대해 알릴 수 있습니다.
    3. 작업 17에서 지금까지의 결과를 문서화합니다.
    4. 작업 18에서 작업을 종료하기 전에 사후 인시던트 검토를 완료합니다.