Verwenden Sie das Playbook „Benutzer löscht Bash-Verlauf“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die darauf hinweisen, dass jemand versucht hat, die Bash-Verlaufsdatei von einem Linux-Server zu entfernen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook User Deleting the Bash History (.bash_history) verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, überprüfen Sie in Aktion 1, ob der Server eine Test- oder Demo-Instanz ist.
    2. Wenn der Server in Aktion 2 keine Test- oder Demoinstanz ist, führen Sie die folgenden Schritte aus:
      1. Erfassen Sie in Aktion 3 die folgenden Informationen für die Warnung:
        • Benutzername
        • IP-Adresse
        • Böswillige Befehle, die versuchen, den Bash-Verlauf zu löschen
        • Alle vom Benutzer ausgeführten Befehle, sofern in den CrowdStrike-Protokollen verfügbar.
      2. Melden Sie sich in Aktion 4 beim Server an, und führen Sie den letzten Befehl aus, um den zuletzt angemeldeten Benutzer anzuzeigen.
      3. Identifizieren Sie in Aktion 5, ob der Benutzer Aktivitäten im Rahmen der Seitenbewegung durchgeführt hat (Quelle: Splunk, CrowdStrike, localhost).
      4. Untersuchen Sie in Aktion 6 die Aktivitäten, die im Zusammenhang mit diesen verdächtigen Aktionen auftreten.
        Abbildung : 1. Playbook „Benutzer löscht Bash-Verlauf“.
        Antwortaufgabe zur Untersuchung der Aktivitäten, die im Zusammenhang mit diesen verdächtigen Aktionen auftreten.
      5. Setzen Sie in Aktion 7 die Zusammenarbeit mit Kollegen fort, und beziehen Sie den Regional Manager für Incident-Antwort in die Entscheidung ein, ob der Benutzer weiterhin überwacht werden soll.
      6. Bestimmen Sie in Aktion 8, ob die Aktivität schädlich ist oder nicht.
      7. Wenn die Aktivität in Aktion 9 schädlich ist, führen Sie die folgenden Schritte aus:
        1. Wenden Sie sich in Aktion 10 während der Untersuchung an den IT-Support, und fordern Sie eine Kontosperre an.
        2. Stellen Sie in Aktion 11 sicher, dass die Instanz in einen normalen Zustand ohne schädliche Aktivitäten zurückgesetzt wird.
        3. Heben Sie in Aktion 12 das Containment auf und bringen Sie die Systeme wieder in den Betriebszustand.
        4. Initiieren Sie in Aktion 13 eine Überprüfung nach Incidents.

          In Aktion 14 endet der Flow nach der Überprüfung nach dem Incident.

        Abbildung : 2. Verwenden des Playbooks „User Deleting Bash History“ (Benutzer löscht Bash-Verlauf).
        Antwortaufgabe, um zu überprüfen, ob die Aktivität böswillig ist.
      8. Wenn die Aktivität in Aktion 15 nicht schädlich ist, wenden Sie sich in Aktion 16 an den Vorgesetzten des Benutzers.
        Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Vorgesetzten des Benutzers zu kontaktieren und ihn über den empfohlenen Ansatz zu informieren.
    3. Dokumentieren Sie in Aktion 17 die bisherigen Ergebnisse.
    4. Schließen Sie in Aktion 18 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.