사용자 삭제 Bash 기록 플레이북 사용

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • 이 플레이북을 사용하여 누군가가 Linux 서버에서 bash 기록 파일을 제거하려고 시도했는지 여부를 나타내는 인시던트를 조사합니다. 다음 단계에서는 사용자 Bash 기록 삭제(.bash_history) 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_si.admin
    • flow_designer

    프로시저

    1. 플레이북이 트리거되고 실행이 시작되면 작업 1에서 서버가 테스트 인스턴스인지 데모 인스턴스인지 확인합니다.
    2. 작업 2에서 서버가 테스트 또는 데모 인스턴스가 아닌 경우 다음 단계를 수행합니다.
      1. 작업 3에서 경보에 대한 다음 정보를 수집합니다.
        • 사용자 이름
        • IP 주소
        • bash 기록을 삭제하려는 악의적인 명령
        • 사용자가 실행하는 모든 명령(CrowdStrike 로그에서 사용 가능한 경우)
      2. 작업 4에서 서버에 로그인하고 마지막 명령을 실행하여 가장 최근에 로그인한 사용자를 봅니다.
      3. 작업 5에서 사용자의 횡적 이동 활동이 있었는지 확인합니다(출처: Splunk, CrowdStrike, localhost).
      4. 작업 6에서 이러한 의심스러운 행동과 관련하여 발생하는 활동을 조사합니다.
        그림 1. 사용자가 Bash 이력 Playbook을 삭제하는 중
        이러한 의심스러운 작업과 관련하여 발생하는 활동을 조사하는 응답 작업입니다.
      5. 작업 7에서는 동료와 계속 협력하고 사용자를 계속 모니터링할지 여부를 결정하는 데 인시던트 응답 지역 관리자를 참여시킵니다.
      6. 작업 8에서 활동이 악성인지 여부를 확인합니다.
      7. 작업 9에서 활동이 악의적인 경우 다음 단계를 수행합니다.
        1. 작업 10에서 조사하는 동안 IT 지원에 연락하여 계정 동결을 요청합니다.
        2. 작업 11에서는 인스턴스가 악의적인 활동이 없는 정상 상태로 복원되었는지 확인합니다.
        3. Action 12에서는 봉쇄를 해제하고 시스템을 운영 표준으로 되돌립니다.
        4. 작업 13에서 사후 인시던트 검토를 시작합니다.

          작업 14에서는 사후 인시던트 검토 후 플로우가 종료됩니다.

        그림 2. 사용자 삭제 Bash 기록 플레이북 사용
        활동이 악성인지 확인하기 위한 응답 작업입니다.
      8. 작업 15에서 활동이 악의적이지 않은 경우 작업 16에서 사용자의 관리자에게 연락합니다.
        제공된 이메일 템플릿을 사용하여 사용자의 관리자에게 문의하고 권장 접근 방식에 대해 알릴 수 있습니다.
    3. Action 17에서는 지금까지의 결과를 문서화합니다.
    4. 작업 18에서 작업을 종결하기 전에 사후 인시던트 검토를 완료합니다.