プレイブックを使用する

チューリッヒセキュリティ管理

Release

zurich

ft:locale

ja-JP

ft:publication_title

チューリッヒセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

/etc/hosts ファイル内の外部アドレスの OSquery プレイブックを使用する

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：3分

このプレイブックを使用して、内部ホスト名またはドメインが Linux サーバーのローカル DNS (/etc/hosts) の外部 IP アドレスに割り当てられていることを示すインシデントを調査します。以下に示すステップは、/etc/hosts ファイル内の外部アドレスの OSquery プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

始める前に

必要なロール：

sn_si.admin
flow_designer

手順

プレイブックがトリガーされて実行が開始されたら、アクション 1 で、生のログからの外部 IP 変換に対応するホスト名またはドメイン名を特定します。
アクション 2 では、IP アドレスとホスト名の詳細を収集します。
アクション 3 では、この IP アドレスが内部組織のパブリック/プライベート IP 範囲に属しているかどうかを確認します。

図 : 1. /etc/hosts ファイル内の外部アドレスの OSquery プレイブック
アクション 4 では、IP アドレスが内部組織のパブリック/プライベート IP 範囲に属している場合に、次の手順を実行します。
1. アクション 5 では、これまでの結果を文書化します。
2. アクション 6 では、インシデントの事後レビューを開始します。
  アクション 7 では、インシデントの事後レビューの後、フローが終了します。
IP アドレスが内部組織のパブリック/プライベート IP 範囲に属していない場合は、アクション 8 で、アラートの期間中にサーバーにログインしたユーザーを特定します。
アクション 9 では、IP アドレスが疑わしいと思われる場合に、所有者またはサーバーのチームに IT チケットを発行して、できるだけ早く構成を変更します。
アクション 10 では、DNS エントリを追加する前と後に、サーバーに悪意のあるアクティビティがあったかどうかを確認します。
アクション 11 では、サーバーから外部 IP アドレスへの接続を確認します。
アクション 12 では、これまでの結果を文書化します。
アクション 13 では、所有者またはチームの情報が利用可能かどうかを確認します。
アクション 14 では、所有者またはチームの情報が使用可能な場合に、次の手順を実行します。
1. アクション 15 では、所有者またはサーバーのチームに連絡して、アクティビティを認識しているかどうかを確認します。
  提供されたメールテンプレートを使用して、所有者またはサーバーのチームに連絡できます。
2. アクション 16 では、所有者またはチームが有効なビジネス上の根拠を提供したかどうかを確認します。
3. アクション 17 では、指定された所有者またはチームが有効なビジネス上の根拠を提供しなかった場合に、フローが終了します。
  しかし、所有者またはチームが有効なビジネス上の根拠を提供した場合には、次の手順を実行します。
  1. アクション 18 では、これまでの結果を文書化します。
  2. アクション 19 では、インシデントの事後レビューを開始します。
    アクション 20 では、インシデントの事後レビューの後、フローが終了します。
  図 : 2. /etc/hosts ファイル内の外部アドレスの OSquery プレイブックの使用
アクション 21 では、所有者またはチームの情報が使用できない場合に、ホストシステムを分離します。
アクション 22 では、侵害された可能性のある認証情報をリセットします。
アクション 23 では、侵害されたホストへのネットワークアクセスをブロックします。
アクション 24 では、影響を受けるデバイスにパッチを適用します。
アクション 25 では、封じ込めを解除し、システムを運用標準に戻します。
アクション 26 では、タスクをクローズする前にインシデントの事後レビューを完了します。