Utiliser le playbook Historique de suppression de Bash par l’utilisateur

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui indiquent si quelqu’un essayait de supprimer le fichier d’historique bash d’un serveur Linux. Les étapes suivantes vous fournissent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Utilisateur supprimant l’historique Bash (.bash_history).

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez si le serveur est une instance de test ou de démonstration.
    2. Dans l’action 2, si le serveur n’est pas une instance de test ou de démonstration, procédez comme suit :
      1. Dans l’action 3, collectez les informations suivantes pour l’alerte :
        • Nom d'utilisateur
        • Adresse IP
        • Commandes malveillantes tentant de supprimer l’historique bash
        • Toutes les commandes exécutées par l’utilisateur, si elles sont disponibles dans les journaux CrowdStrike.
      2. Dans l’action 4, connectez-vous au serveur et exécutez la dernière commande pour afficher l’utilisateur connecté le plus récemment.
      3. Dans l’action 5, identifiez s’il y a eu des activités de mouvement latéral de la part de l’utilisateur (Source : Splunk, CrowdStrike, localhost).
      4. Dans l’action 6, examinez les activités qui se produisent autour de ces actions suspectes.
        Figure 1. Utilisateur supprimant le playbook d’historique de Bash
        Tâche de réponse pour examiner les activités se produisant autour de ces actions suspectes.
      5. Dans l’action 7, continuez à travailler avec vos pairs et impliquez le responsable régional de la réponse aux incidents pour décider s’il faut continuer à surveiller l’utilisateur.
      6. Dans l’action 8, déterminez si l’activité est malveillante ou non.
      7. Dans l’action 9, si l’activité est malveillante, effectuez les étapes suivantes :
        1. Dans l’action 10, pendant l’enquête, contactez le support informatique et demandez un gel du compte.
        2. Dans l’action 11, assurez-vous que l’instance est restaurée à un état normal exempt d’activités malveillantes.
        3. Dans l’action 12, lever le confinement et ramener les systèmes aux normes opérationnelles.
        4. Dans l’action 13, lancez un examen post-incident.

          Dans l’action 14, après la revue post-incident, le flux s’arrête.

        Figure 2. Utilisation du playbook Historique de suppression Bash par l’utilisateur
        Tâche de réponse pour vérifier si l’activité est malveillante.
      8. Dans l’action 15, si l’activité n’est pas malveillante, dans l’action 16, contactez le responsable de l’utilisateur.
        Vous pouvez utiliser le modèle d’e-mail fourni pour contacter le responsable de l’utilisateur et l’informer de l’approche recommandée.
    3. Dans l’action 17, documentez les résultats obtenus jusqu’à présent.
    4. Dans l’action 18, terminez la revue post-incident avant de fermer la tâche.