Use a OSquery de endereço externo no playbook do arquivo /etc/hosts

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use este playbook para investigar incidentes que indicam que um nome de host ou domínio interno foi atribuído a um endereço IP externo no DNS local (/etc/hosts) de um servidor Linux. As etapas a seguir fornecem instruções das ações, tarefas e subfluxos que estão disponíveis na consulta do OS de endereço externo no playbook de arquivo /etc/hosts.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, identifique o nome do host ou o nome do domínio correspondente à conversão de IP externo do log bruto.
    2. Na Ação 2, reúna os detalhes do endereço IP e o nome do host.
    3. Na Ação 3, verifique se este endereço IP pertence ou não ao intervalo de IPs públicos/privados da organização interna.
      Figura 1. Consulta de endereço externo no playbook de arquivo /etc/hosts
      Tarefa de resposta para verificar se este endereço IP pertence ao intervalo de IPs públicos/privados da organização interna.
    4. Na Ação 4, se o endereço IP pertencer ao intervalo de IPs públicos/privados da organização interna, execute as seguintes etapas:
      1. Na Ação 5, documente as descobertas até o momento.
      2. Na Ação 6, inicie uma análise pós-incidente.
        Na Ação 7, após a análise pós-incidente, o fluxo termina.
    5. Se o endereço IP não pertencer ao intervalo de IPs públicos/privados da organização interna, na Ação 8, identifique o usuário que fez login no servidor durante o intervalo de tempo do alerta.
    6. Na Ação 9, se o endereço IP parecer suspeito, gere um tíquete de TI para o proprietário ou a equipe do servidor para mudar a configuração assim que possível.
    7. Na Ação 10, verifique se houve alguma atividade mal-intencionada no servidor antes e depois de adicionar a entrada DNS.
    8. Na Ação 11, verifique se há conexões com o endereço IP externo do servidor.
    9. Na Ação 12, documente as descobertas até o momento.
    10. Na Ação 13, verifique se as informações do proprietário ou da equipe estão disponíveis ou não.
    11. Na Ação 14, se as informações do proprietário ou da equipe estiverem disponíveis, execute as seguintes etapas:
      1. Na Ação 15, entre em contato com o proprietário ou a equipe do servidor para ver se eles reconhecem a atividade.
        Você pode usar o modelo de e-mail fornecido para entrar em contato com o proprietário ou a equipe do servidor.
      2. Na Ação 16, verifique se o proprietário ou a equipe forneceu uma justificativa de negócio válida ou não.
      3. Na Ação 17, se o proprietário ou a equipe fornecida não fornecer uma justificativa de negócio válida, o fluxo será encerrado.
        Mas, se o proprietário ou a equipe forneceram uma justificativa de negócio válida, execute as seguintes etapas:
        1. Na Ação 18, documente as descobertas até o momento.
        2. Na Ação 19, inicie uma análise pós-incidente.

          Na Ação 20, após a análise pós-incidente, o fluxo termina.

        Figura 2. Como usar o OSquery de endereço externo no playbook do arquivo /etc/hosts
        Tarefa de resposta para verificar se as informações do proprietário ou da equipe estão disponíveis.
    12. Na Ação 21, se as informações do proprietário ou da equipe não estiverem disponíveis, isole o sistema host.
    13. Na Ação 22, redefina as credenciais potencialmente comprometidas.
    14. Na Ação 23, bloqueie o acesso à rede do host comprometido.
    15. Na Ação 24, corrija os dispositivos afetados.
    16. Na Ação 25, remova a contenção e traga os sistemas de volta aos padrões operacionais.
    17. Na Ação 26, conclua a revisão pós-incidente antes de fechar a tarefa.