Use o playbook Usuário Excluindo histórico de Bash

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Use este playbook para investigar incidentes que indicam se alguém estava tentando remover o arquivo de histórico de bash de um servidor Linux. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no Histórico de exclusão do usuário do Bash ( .bash_history playbook.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, verifique se o servidor é uma instância de teste ou demonstração.
    2. Na Ação 2, se o servidor não for uma instância de teste ou demonstração, execute as seguintes etapas:
      1. Na Ação 3, colete as seguintes informações para o alerta:
        • Nome do usuário
        • Endereço IP
        • Comandos maliciosos que tentam excluir o histórico de bash
        • Todos os comandos executados pelo usuário, se disponíveis nos logs do CrowdStrike.
      2. Em Ação 4, faça login no servidor e execute o. último comando para exibir o usuário conectado mais recente.
      3. Na Ação 5, identifique se houve atividades de movimento lateral do usuário (Fonte: Splunk, CrowdStrike, localhost).
      4. Na Ação 6, examine as atividades que ocorrem em torno dessas ações suspeitas.
        Figura 1. Playbook de histórico de hash excluído do usuário
        Tarefa de resposta para examinar as atividades que ocorrem em torno dessas ações suspeitas.
      5. Na Ação 7, continue trabalhando com colegas e envolva o gerente regional de resposta a incidentes na decisão de continuar monitorando o usuário.
      6. Na Ação 8, determine se a atividade é maliciosa ou não.
      7. Na Ação 9, se a atividade for mal-intencionada, execute as seguintes etapas:
        1. Na Ação 10, durante a investigação, entre em contato com o Suporte DE TI e solicite o congelamento da conta.
        2. Na Ação 11, certifique-se de que a instância seja restaurada para um estado normal sem atividades mal-intencionadas.
        3. Na Ação 12, levante a contenção e traga os sistemas de volta aos padrões operacionais.
        4. Em Ação 13, inicie uma revisão pós-incidente.

          Na Ação 14, após a revisão pós-incidente, o fluxo termina.

        Figura 2. Usando o playbook Excluindo histórico de Bash do usuário
        Tarefa de resposta para verificar se a atividade é mal-intencionada.
      8. Na Ação 15, se a atividade não for maliciosa, na Ação 16, entre em contato com o gerente do usuário.
        Você pode usar o modelo de e-mail fornecido para entrar em contato com o gerente do usuário e informá-lo sobre a abordagem recomendada.
    3. Na Ação 17, documente as descobertas até o momento.
    4. Em Ação 18, conclua a revisão pós-incidente antes de encerrar a tarefa.