Verwenden Sie das Playbook „Anwender löschen Bash-Verlauf“

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um Incidents zu untersuchen, die darauf hinweisen, ob jemand versucht hat, die Bash-Verlaufsdatei von einem Linux-Server zu entfernen. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die in der Registerkarte Anwender Löschen des Bash-Verlaufs ( verfügbar sind .Bash_history ) Playbook.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, überprüfen Sie in Aktion 1, ob der Server eine Test- oder Demo-Instanz ist.
    2. Wenn der Server in Aktion 2 keine Test- oder Demo-Instanz ist, führen Sie die folgenden Schritte aus:
      1. Erfassen Sie in Aktion 3 die folgenden Informationen für die Warnung:
        • Anwendername
        • IP-Adresse
        • Böswillige Befehle, die versuchen, den Bash-Verlauf zu löschen
        • Alle vom Anwender ausgeführten Befehle, falls in den CrowdStrike-Protokollen verfügbar.
      2. Melden Sie sich in Aktion 4 beim Server an, und führen Sie aus Zuletzt Befehl zum Anzeigen des zuletzt angemeldeten Anwenders.
      3. Identifizieren Sie in Aktion 5, ob der Anwender laterale Bewegungsaktivitäten hatte (Quelle: Splunk, CrowdStrike, localhost).
      4. Untersuchen Sie in Aktion 6 die Aktivitäten im Zusammenhang mit diesen verdächtigen Aktionen.
        Abbildung : 1. Anwender löscht Bash-Verlauf-Playbook
        Antwortaufgabe zur Untersuchung der Aktivitäten im Zusammenhang mit diesen verdächtigen Aktionen.
      5. In Aktion 7 arbeiten Sie weiter mit Kollegen, und beziehen Sie den Regional Manager für die Reaktion auf Incidents in die Entscheidung ein, ob der Anwender weiterhin überwacht werden soll.
      6. Bestimmen Sie in Aktion 8, ob die Aktivität böswillig ist oder nicht.
      7. Führen Sie in Aktion 9 die folgenden Schritte aus, wenn die Aktivität böswillig ist:
        1. Wenden Sie sich in Aktion 10 während der Untersuchung an DEN IT-Support, und fordern Sie eine Sperrung des Accounts an.
        2. Stellen Sie in Aktion 11 sicher, dass die Instanz in einen normalen Status ohne böswillige Aktivitäten wiederhergestellt wird.
        3. Heben Sie in Aktion 12 die Eindämmung auf, und bringen Sie Systeme wieder auf Betriebsstandards zurück.
        4. Initiieren Sie in Aktion 13 eine Überprüfung nach dem Incident.

          In Aktion 14 endet der Flow nach der Überprüfung nach dem Incident.

        Abbildung : 2. Verwenden des Playbooks „Anwender löschen Bash-Verlauf“
        Antwortaufgabe, um zu überprüfen, ob die Aktivität schädlich ist.
      8. Wenn die Aktivität in Aktion 15 nicht böswillig ist, wenden Sie sich in Aktion 16 an den Vorgesetzten des Anwenders.
        Sie können die bereitgestellte E-Mail-Vorlage verwenden, um den Manager des Anwenders zu kontaktieren und ihn über den empfohlenen Ansatz zu informieren.
    3. Dokumentieren Sie in Aktion 17 die bisherigen Ergebnisse.
    4. Schließen Sie in Aktion 18 die Überprüfung nach dem Incident ab, bevor Sie die Aufgabe schließen.