Use o OSquery do endereço externo no playbook do arquivo /etc/hosts

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Use este playbook para investigar incidentes que indicam que um nome de host ou domínio interno foi atribuído a um endereço IP externo no DNS local (/etc/hosts) de um servidor Linux. As etapas a seguir fornecem instruções sobre as ações, tarefas e subfluxos que estão disponíveis no OSquery do endereço externo no playbook do arquivo /etc/hosts.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook for acionado e começar a ser executado, na Ação 1, identifique o nome do host ou do domínio correspondente à tradução do IP externo do log bruto.
    2. Na Ação 2, reúna os detalhes do endereço IP e o nome do host.
    3. Na Ação 3, verifique se este endereço IP pertence ao intervalo IP público/privado da organização interna ou não.
      Figura 1. OSquery do endereço externo no playbook do arquivo /etc/hosts
      Tarefa de resposta para verificar se este endereço IP pertence ao intervalo de IPs público/privado da organização interna.
    4. Na Ação 4, se o endereço IP pertencer ao intervalo IP público/privado da organização interna, execute as seguintes etapas:
      1. Na Ação 5, documente as descobertas até o momento.
      2. Na Ação 6, inicie uma análise pós-incidente.
        Na Ação 7, após a revisão pós-incidente, o fluxo termina.
    5. Se o endereço IP não pertencer ao intervalo IP público/privado da organização interna, na Ação 8, identifique o usuário que fez login no servidor durante o intervalo de tempo do alerta.
    6. Na Ação 9, se o endereço IP parecer suspeito, gere um tíquete de TI para o proprietário ou a equipe do servidor para mudar a configuração o mais rápido possível.
    7. Na Ação 10, verifique se houve alguma atividade mal-intencionada no servidor antes e depois de adicionar a entrada DNS.
    8. Na Ação 11, verifique se há conexões com o endereço IP externo do servidor.
    9. Na Ação 12, documente as descobertas até o momento.
    10. Na Ação 13, verifique se as informações do proprietário ou da equipe estão disponíveis ou não.
    11. Na Ação 14, se as informações do proprietário ou da equipe estiverem disponíveis, execute as seguintes etapas:
      1. Na Ação 15, entre em contato com o proprietário ou a equipe do servidor para ver se eles reconhecem a atividade.
        Você pode usar o modelo de e-mail fornecido para entrar em contato com o proprietário ou a equipe do servidor.
      2. Na Ação 16, verifique se o proprietário ou a equipe forneceu uma justificativa comercial válida ou não.
      3. Na Ação 17, se o proprietário ou a equipe fornecida não fornecer uma justificativa comercial válida, o fluxo será encerrado.
        Mas, se o proprietário ou a equipe forneceu uma justificativa comercial válida, execute as seguintes etapas:
        1. Na Ação 18, documente as descobertas até o momento.
        2. Na Ação 19, inicie uma revisão pós-incidente.

          Na Ação 20, após a revisão pós-incidente, o fluxo termina.

        Figura 2. Usando o OSquery do endereço externo no playbook do arquivo /etc/hosts
        Tarefa de resposta para verificar se as informações do proprietário ou da equipe estão disponíveis.
    12. Na Ação 21, se as informações do proprietário ou da equipe não estiverem disponíveis, isole o sistema host.
    13. Na Ação 22, redefina as credenciais potencialmente comprometidas.
    14. Na Ação 23, bloqueie o acesso à rede do host comprometido.
    15. Na Ação 24, corrija os dispositivos afetados.
    16. Na Ação 25, suspenda a contenção e traga os sistemas de volta aos padrões operacionais.
    17. Na Ação 26, conclua a revisão pós-incidente antes de fechar a tarefa.