Verwenden Sie die OSquery der externen Adresse im Datei „/etc/Hosts“-Playbook
Freigeben Version: Zurich
Aktualisiert 31. Juli 2025
2 Minuten Lesedauer
Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die darauf hinweisen, dass ein interner Hostname oder eine interne Domäne einer externen IP-Adresse im lokalen DNS (/etc/Hosts) eines Linux-Servers zugewiesen wurde. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die in der OSquery der externen Adresse im Datei-Playbook /etc/Hosts verfügbar sind.
Vorbereitungen
Erforderliche Rolle:
sn_si.admin
flow_designer
Prozedur
Wenn das Playbook ausgelöst wird und die Ausführung beginnt, identifizieren Sie in Aktion 1 den Hostnamen oder Domänennamen, der der externen IP-Übersetzung aus dem Rohprotokoll entspricht.
Erfassen Sie in Aktion 2 die Details der IP-Adresse und des Hostnamens.
Überprüfen Sie in Aktion 3, ob diese IP-Adresse zum öffentlichen/privaten IP-Bereich der internen Organisation gehört oder nicht.
Abbildung : 1. OSquery der externen Adresse im Datei-Playbook „/etc/Hosts“
Führen Sie in Aktion 4 die folgenden Schritte aus, wenn die IP-Adresse zum öffentlichen/privaten IP-Bereich der internen Organisation gehört:
Dokumentieren Sie in Aktion 5 die bisherigen Ergebnisse.
Initiieren Sie in Aktion 6 eine Überprüfung nach Incident.
In Aktion 7 endet der Flow nach der Überprüfung nach dem Incident.
Wenn die IP-Adresse nicht zum öffentlichen/privaten IP-Bereich der internen Organisation gehört, identifizieren Sie in Aktion 8 den Anwender, der sich während des Warnungszeitrahmens beim Server angemeldet hat.
Wenn die IP-Adresse in Aktion 9 verdächtig erscheint, erstellen Sie ein IT-Ticket an den Besitzer oder das Serverteam, um die Konfiguration so bald wie möglich zu ändern.
Überprüfen Sie in Aktion 10, ob vor und nach dem Hinzufügen des DNS-Eintrags schädliche Aktivitäten auf dem Server aufgetreten sind.
Überprüfen Sie in Aktion 11 auf Verbindungen mit der externen IP-Adresse vom Server.
Dokumentieren Sie in Aktion 12 die bisherigen Ergebnisse.
Überprüfen Sie in Aktion 13, ob die Besitzer- oder Teaminformationen verfügbar sind oder nicht.
Führen Sie in Aktion 14 die folgenden Schritte aus, wenn die Besitzer- oder Teaminformationen verfügbar sind:
Wenden Sie sich in Aktion 15 an den Besitzer oder das Serverteam, um zu sehen, ob er die Aktivität erkennt.
Sie können die bereitgestellte E-Mail-Vorlage verwenden, um sich an den Besitzer oder das Team des Servers zu wenden.
Überprüfen Sie in Aktion 16, ob der Besitzer oder das Team eine gültige geschäftliche Begründung angegeben hat oder nicht.
Wenn der angegebene Besitzer oder das angegebene Team in Aktion 17 keine gültige geschäftliche Begründung angegeben hat, endet der Flow.
Wenn der Besitzer oder das Team jedoch eine gültige geschäftliche Begründung angegeben hat, führen Sie die folgenden Schritte aus:
Dokumentieren Sie in Aktion 18 die bisherigen Ergebnisse.
Initiieren Sie in Aktion 19 eine Überprüfung nach Incident.
In Aktion 20 endet der Flow nach der Überprüfung nach dem Incident.
Abbildung : 2. Verwendung der OSquery der externen Adresse im Datei-Playbook „/etc/Hosts“
Wenn in Aktion 21 die Besitzer- oder Teaminformationen nicht verfügbar sind, isolieren Sie das Hostsystem.
Setzen Sie in Aktion 22 die potenziell gefährdeten Anmeldeinformationen zurück.
Blockieren Sie in Aktion 23 den Netzwerkzugriff auf den gefährdeten Host.
In Aktion 24 patchen Sie die betroffenen Geräte.
Heben Sie in Aktion 25 die Eindämmung auf, und bringen Sie Systeme wieder auf Betriebsstandards zurück.
Schließen Sie in Aktion 26 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.