Utiliser le playbook de suppression de l’historique Bash par l’utilisateur

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui indiquent si quelqu’un a essayé de supprimer le fichier d’historique bash d’un serveur Linux. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Utilisateur supprimant l’historique Bash (.bash_history).

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez si le serveur est une instance de test ou de démonstration.
    2. Dans l’action 2, si le serveur n’est pas une instance de test ou de démonstration, procédez comme suit :
      1. Dans l’action 3, collectez les informations suivantes pour l’alerte :
        • Nom d'utilisateur
        • Adresse IP
        • Commandes malveillantes tentant de supprimer l’historique bash
        • Toutes les commandes exécutées par l’utilisateur, si elles sont disponibles dans les journaux CrowdStrike.
      2. Dans l’action 4, connectez-vous au serveur et exécutez la dernière commande pour afficher l’utilisateur connecté le plus récemment.
      3. Dans l’action 5, identifiez s’il y a eu des activités de mouvement latéral de la part de l’utilisateur (source : Splunk, CrowdStrike, localhost).
      4. Dans l’action 6, examinez les activités qui se produisent autour de ces actions suspectes.
        Figure 1. Utilisateur supprimant le playbook d’historique de Bash
        Tâche de réponse pour examiner les activités qui se produisent autour de ces actions suspectes.
      5. Dans l’action 7, continuez à travailler avec vos pairs et impliquez le responsable régional de la réponse aux incidents dans la décision de continuer à surveiller l’utilisateur.
      6. Dans l’action 8, déterminez si l’activité est malveillante ou non.
      7. Dans l’action 9, si l’activité est malveillante, effectuez les étapes suivantes :
        1. Dans l’action 10, au cours de l’enquête, contactez le support informatique et demandez un gel de compte.
        2. Dans l’action 11, assurez-vous que l’instance est restaurée à un état normal exempt d’activité malveillante.
        3. Dans l’action 12, lever le confinement et ramener les systèmes aux normes opérationnelles.
        4. Dans l’action 13, lancez une revue post-incident.

          Dans l’action 14, après la revue post-incident, le flux s’arrête.

        Figure 2. Utilisation du playbook de suppression de l’historique Bash par l’utilisateur
        Tâche de réponse pour vérifier si l’activité est malveillante.
      8. Dans l’action 15, si l’activité n’est pas malveillante, dans l’action 16, contactez le responsable de l’utilisateur.
        Vous pouvez utiliser le modèle d’e-mail fourni pour contacter le responsable de l’utilisateur et l’informer de l’approche recommandée.
    3. Dans l’action 17, documentez les résultats obtenus jusqu’à présent.
    4. Dans l’action 18, effectuez l’examen post-incident avant de fermer la tâche.