Use o playbook de histórico de bash de exclusão de usuário

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • use este playbook para investigar incidentes que indicam se alguém estava tentando remover o arquivo de histórico do bash de um servidor Linux. As etapas a seguir fornecem instruções sobre as ações, tarefas e subfluxos que estão disponíveis no playbook do usuário que exclui o histórico do Bash (.bash_history).

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, verifique se o servidor é uma instância de teste ou de demonstração.
    2. Na Ação 2, se o servidor não for uma instância de teste ou de demonstração, execute as seguintes etapas:
      1. Na Ação 3, colete as seguintes informações para o alerta:
        • Nome do usuário
        • Endereço IP
        • Comandos maliciosos que tentam excluir o histórico do bash
        • Todos os comandos executados pelo usuário, se disponíveis nos logs do CrowdStrike.
      2. Na Ação 4, faça login no servidor e execute o último comando para exibir o usuário conectado mais recentemente.
      3. Na Ação 5, identifique se houve alguma atividade de movimento lateral do usuário (Origem: Splunk, CrowdStrike, localhost).
      4. Na Ação 6, examine as atividades que ocorrem em torno dessas ações suspeitas.
        Figura 1. Playbook de histórico de bash para exclusão de usuário
        Tarefa de resposta para examinar as atividades que ocorrem em torno dessas ações suspeitas.
      5. Na Ação 7, continue trabalhando com colegas e envolva o gerente regional de resposta do incidente para decidir se deve continuar monitorando o usuário.
      6. Na Ação 8, determine se a atividade é mal-intencionada ou não.
      7. Na Ação 9, se a atividade for mal-intencionada, execute as seguintes etapas:
        1. Na Ação 10, durante a investigação, entre em contato com o Suporte de TI e solicite um congelamento de conta.
        2. Na Ação 11, certifique-se de que a instância seja restaurada para um estado normal livre de atividades mal-intencionadas.
        3. Na Ação 12, suspenda a contenção e traga os sistemas de volta aos padrões operacionais.
        4. Na Ação 13, inicie uma revisão pós-incidente.

          Na Ação 14, após a revisão pós-incidente, o fluxo termina.

        Figura 2. Usando o playbook de histórico de bash de exclusão de usuário
        Tarefa de resposta para verificar se a atividade é mal-intencionada.
      8. Na Ação 15, se a atividade não for mal-intencionada, na Ação 16, entre em contato com o gerente do usuário.
        Você pode usar o modelo de e-mail fornecido para entrar em contato com o gerente do usuário e informá-lo sobre a abordagem recomendada.
    3. Na Ação 17, documente as descobertas até o momento.
    4. Na Ação 18, conclua a revisão pós-incidente antes de fechar a tarefa.