bash 履歴を削除するユーザープレイブックを使用する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • このプレイブックを使用して、誰かが Linux サーバーから bash 履歴ファイルを削除しようとしたかどうかを示すインシデントを調査します。以下に示すステップは、bash 履歴 (.bash_history) を削除するユーザープレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

    始める前に

    必要なロール:
    • sn_si.admin
    • flow_designer

    手順

    1. プレイブックがトリガーされて実行が開始されたら、アクション 1 で、サーバーがテストインスタンスであるかデモインスタンスであるかを確認します。
    2. アクション 2 では、サーバーがテストインスタンスまたはデモインスタンスでない場合に、次の手順を実行します。
      1. アクション 3 では、アラートについての次の情報を収集します。
        • ユーザー名
        • IP アドレス
        • bash 履歴を削除しようとする悪意のあるコマンド
        • ユーザーが実行したすべてのコマンド (CrowdStrike ログから入手可能な場合)。
      2. アクション 4 では、サーバーにログインし、last コマンドを実行して、最後にログインしたユーザーを表示します。
      3. アクション 5 では、ユーザーからの横方向移動アクティビティがあったかどうかを特定します (ソース:Splunk、CrowdStrike、localhost)。
      4. アクション 6 では、これらの疑わしいアクションの周囲で発生しているアクティビティを調べます。
        図 : 1. bash 履歴を削除するユーザープレイブック
        これらの疑わしいアクションの周囲で発生しているアクティビティを調べるための応答タスク。
      5. アクション 7 では、同僚との作業を続行し、インシデント応答地域マネージャーを関与させて、ユーザーの監視を継続するかどうかを決定します。
      6. アクション 8 では、アクティビティが悪意のあるものであるかどうかを判断します。
      7. アクション 9 では、アクティビティが悪意のあるものであった場合に、次の手順を実行します。
        1. アクション 10 では、調査中に IT サポートに連絡してアカウントの凍結を要求します。
        2. アクション 11 では、インスタンスが通常の状態に復元され、悪意のあるアクティビティがないことを確認します。
        3. アクション 12 では、封じ込めを解除し、システムを運用標準に戻します。
        4. アクション 13 では、インシデントの事後レビューを開始します。

          アクション 14 では、インシデントの事後レビューの後、フローが終了します。

        図 : 2. bash 履歴を削除するユーザープレイブックの使用
        アクティビティが悪意のあるものであるかどうかを確認するための応答タスク。
      8. アクション 15 では、アクティビティが悪意のあるものでない場合に、アクション 16 で、ユーザーのマネージャーに連絡します。
        提供されたメールテンプレートを使用してユーザーのマネージャーに連絡し、推奨されるアプローチについて知らせることができます。
    3. アクション 17 では、これまでの結果を文書化します。
    4. アクション 18 では、タスクをクローズする前にインシデントの事後レビューを完了します。