Use o playbook Exclusão do histórico de Bash do usuário

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Use este playbook para investigar incidentes que indicam se alguém estava tentando remover o arquivo de histórico de bash de um servidor Linux. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no usuário Excluindo o histórico de Bash ( .bash_history playbook.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, verifique se o servidor é uma instância de teste ou demonstração.
    2. Na Ação 2, se o servidor não for uma instância de teste ou demonstração, execute as seguintes etapas:
      1. Em Ação 3, colete as seguintes informações para o alerta:
        • Nome do usuário
        • Endereço IP
        • Comandos mal-intencionados que tentam excluir o histórico de bash
        • Todos os comandos executados pelo usuário, se disponíveis nos logs do CrowdStrike.
      2. Em Ação 4, faça login no servidor e execute o. último comando para exibir o usuário conectado mais recente.
      3. Na Ação 5, identifique se houve atividades de movimento lateral do usuário (Origem: Splunk, CrowdStrike, localhost).
      4. Na Ação 6, examine as atividades que ocorrem em torno dessas ações suspeitas.
        Figura 1. Playbook do Histórico de Bash excluído pelo usuário
        Tarefa de resposta para examinar as atividades que ocorrem em torno dessas ações suspeitas.
      5. Na Ação 7, continue trabalhando com colegas e envolva o gerente regional de resposta a incidentes na decisão de continuar monitorando o usuário.
      6. Na Ação 8, determine se a atividade é mal-intencionada ou não.
      7. Na Ação 9, se a atividade for mal-intencionada, execute as seguintes etapas:
        1. Na Ação 10, durante a investigação, entre em contato com o Suporte DE TI e solicite um congelamento da conta.
        2. Na Ação 11, certifique-se de que a instância seja restaurada para um estado normal sem atividade mal-intencionada.
        3. Na Ação 12, levante a contenção e traga os sistemas de volta aos padrões operacionais.
        4. Em Ação 13, inicie uma revisão pós-incidente.

          Na Ação 14, após a revisão pós-incidente, o fluxo termina.

        Figura 2. Usando o playbook Exclusão do histórico de Bash do usuário
        Tarefa de resposta para verificar se a atividade é mal-intencionada.
      8. Na Ação 15, se a atividade não for mal-intencionada, na Ação 16, entre em contato com o gerente do usuário.
        Você pode usar o modelo de e-mail fornecido para entrar em contato com o gerente do usuário e informá-lo sobre a abordagem recomendada.
    3. Na Ação 17, documente as descobertas até agora.
    4. Em Ação 18, conclua a revisão pós-incidente antes de fechar a tarefa.