Verwenden Sie die OSquery der externen Adresse im Playbook der Datei „/etc/hosts“.

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

2 Minuten Lesedauer

Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die darauf hinweisen, dass ein interner Hostname oder eine Domäne einer externen IP-Adresse im lokalen DNS (/etc/hosts) eines Linux-Servers zugewiesen wurde. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die in der OSAbfrage der externen Adresse im Playbook für die Datei „/etc/hosts“ verfügbar sind.

Vorbereitungen

Erforderliche Rolle:

sn_si.admin
flow_designer

Prozedur

Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, identifizieren Sie in Aktion 1 den Hostnamen oder Domänennamen, der der externen IP-Übersetzung entspricht, aus dem Rohprotokoll.
Erfassen Sie in Aktion 2 die Details der IP-Adresse und des Hostnamens.
Überprüfen Sie in Aktion 3, ob diese IP-Adresse zum öffentlichen/privaten IP-Bereich der internen Organisation gehört oder nicht.

Abbildung : 1. OSAbfrage der externen Adresse im Playbook der Datei „/etc/hosts“.
Wenn die IP-Adresse in Aktion 4 zum öffentlichen/privaten IP-Bereich der internen Organisation gehört, führen Sie die folgenden Schritte aus:
1. Dokumentieren Sie in Aktion 5 die bisherigen Ergebnisse.
2. Initiieren Sie in Aktion 6 eine Überprüfung nach Incident.
  In Aktion 7 wird nach der Überprüfung nach Incident der Flow beendet.
Wenn die IP-Adresse nicht zum öffentlichen/privaten IP-Bereich der internen Organisation gehört, geben Sie in Aktion 8 den Anwender an, der sich während des Warnungszeitraums beim Server angemeldet hat.
Wenn in Aktion 9 die IP-Adresse verdächtig erscheint, lösen Sie ein IT-Ticket beim Besitzer oder beim Team des Servers aus, um die Konfiguration so bald wie möglich zu ändern.
Überprüfen Sie in Aktion 10, ob vor und nach dem Hinzufügen des DNS-Eintrags schädliche Aktivitäten auf dem Server aufgetreten sind.
Überprüfen Sie in Aktion 11, ob Verbindungen vom Server zur externen IP-Adresse vorhanden sind.
Dokumentieren Sie in Aktion 12 die bisherigen Ergebnisse.
Überprüfen Sie in Aktion 13, ob die Besitzer- oder Teaminformationen verfügbar sind.
Wenn in Aktion 14 Informationen zum Besitzer oder Team verfügbar sind, führen Sie die folgenden Schritte aus:
1. Wenden Sie sich in Aktion 15 an den Besitzer oder das Team des Servers, um zu erfahren, ob die Aktivität erkannt wird.
  Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Besitzer oder das Team des Servers zu kontaktieren.
2. Überprüfen Sie in Aktion 16, ob der Besitzer oder das Team eine gültige geschäftliche Begründung angegeben hat.
3. Wenn in Aktion 17 der angegebene Besitzer oder das angegebene Team keine gültige geschäftliche Begründung angegeben hat, wird der Flow beendet.
  Wenn der Besitzer oder das Team jedoch eine stichhaltige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
  1. Dokumentieren Sie in Aktion 18 die bisherigen Ergebnisse.
  2. Initiieren Sie in Aktion 19 eine Überprüfung nach Incident.
    In Aktion 20 wird nach der Überprüfung nach Incident der Flow beendet.
  Abbildung : 2. Verwenden der OSquery der externen Adresse im Playbook der Datei „/etc/hosts“.
Wenn in Aktion 21 die Besitzer- oder Teaminformationen nicht verfügbar sind, isolieren Sie das Hostsystem.
Setzen Sie in Aktion 22 die potenziell gefährdeten Anmeldeinformationen zurück.
Blockieren Sie in Aktion 23 den Netzwerkzugriff auf den gefährdeten Host.
Patchen Sie in Aktion 24 die betroffenen Geräte.
In Aktion 25: Containment aufheben und Systeme wieder auf Betriebsstandard zurücksetzen.
Schließen Sie in Aktion 26 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.