Use o OSquery do endereço externo no playbook do arquivo /etc/hosts

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Use este playbook para investigar incidentes que indicam que um nome de host ou domínio interno foi atribuído a um endereço IP externo no DNS local (/etc/hosts) de um servidor Linux. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no OSquery do endereço externo no playbook de arquivos /etc/hosts.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, identifique o nome de host ou o nome de domínio correspondente à tradução de IP externo do log bruto.
    2. Em Ação 2, reúna os detalhes do endereço IP e do nome do host.
    3. Na Ação 3, verifique se este endereço IP pertence ou não ao intervalo de IPs público/privado da organização interna.
      Figura 1. OSquery do endereço externo no playbook do arquivo /etc/hosts
      Tarefa de resposta para verificar se este endereço IP pertence ao intervalo de IPs público/privado da organização interna.
    4. Na Ação 4, se o endereço IP pertencer ao intervalo de IPs público/privado da organização interna, execute as seguintes etapas:
      1. Na Ação 5, documente as descobertas até agora.
      2. Em Ação 6, inicie uma revisão pós-incidente.
        Na Ação 7, após a revisão pós-incidente, o fluxo termina.
    5. Se o endereço IP não pertencer ao intervalo de IPs público/privado da organização interna, na Ação 8, identifique o usuário que fez login no servidor durante o período de alerta.
    6. Na Ação 9, se o endereço IP parecer suspeito, gere um tíquete DE TI para o proprietário ou a equipe do servidor para mudar a configuração o mais rápido possível.
    7. Na Ação 10, verifique se houve alguma atividade mal-intencionada no servidor antes e depois de adicionar a entrada DNS.
    8. Na Ação 11, verifique se há conexões com o endereço IP externo do servidor.
    9. Na Ação 12, documente as descobertas até agora.
    10. Na Ação 13, verifique se as informações do proprietário ou da equipe estão disponíveis ou não.
    11. Na Ação 14, se as informações do proprietário ou da equipe estiverem disponíveis, execute as seguintes etapas:
      1. Na Ação 15, entre em contato com o proprietário ou com a equipe do servidor para ver se ele reconhece a atividade.
        Você pode usar o modelo de e-mail fornecido para entrar em contato com o proprietário ou com a equipe do servidor.
      2. Na Ação 16, verifique se o proprietário ou a equipe forneceu uma justificativa comercial válida ou não.
      3. Na Ação 17, se o proprietário ou a equipe fornecida não forneceu uma justificativa comercial válida, o fluxo será encerrado.
        Mas, se o proprietário ou a equipe forneceu uma justificativa comercial válida, execute as seguintes etapas:
        1. Na Ação 18, documente as descobertas até agora.
        2. Em Ação 19, inicie uma revisão pós-incidente.

          Na Ação 20, após a revisão pós-incidente, o fluxo termina.

        Figura 2. Usando o OSquery do endereço externo no playbook de arquivos /etc/hosts
        Tarefa de resposta para verificar se as informações do proprietário ou da equipe estão disponíveis.
    12. Na Ação 21, se as informações do proprietário ou da equipe não estiverem disponíveis, isole o sistema host.
    13. Em Ação 22, redefina as credenciais potencialmente comprometidas.
    14. Na Ação 23, bloqueie o acesso à rede ao host comprometido.
    15. Em Ação 24, corrija os dispositivos afetados.
    16. Na Ação 25, levante a contenção e traga os sistemas de volta aos padrões operacionais.
    17. Em Ação 26, conclua a revisão pós-incidente antes de fechar a tarefa.