Anhang C: Beispiel-Runbook - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS
Runbook für Vorfallreaktionen – Root-Verwendung

Anhang C: Beispiel-Runbook

Das folgende Beispiel eines Runbooks ist ein einzelner Eintrag eines größeren Runbooks. Dieses Runbook ist nicht offiziell und dient nur als Beispiel. Wenn Sie Ihre Runbooks erstellen, können sich Ihre Szenarien zu größeren Elementen mit unterschiedlichen Anfängen und Hinweisen auf Gefährdungen entwickeln, die aber alle ähnliche Ergebnisse oder zu ergreifende Maßnahmen haben. Die Erkenntnis dieser Änderung kann zudem neue Situationen mit besseren oder aufschlussreicheren Reaktionen eröffnen.

Runbook für Vorfallreaktionen – Root-Verwendung

Ziel

Das Ziel dieses Runbooks ist es, spezifische Anleitungen zur Nutzungsverwaltung des Root-AWS-Kontos zu liefern. Dieses Runbook ist kein Ersatz für eine umfangreiche Vorfallreaktionsstrategie. Dieses Runbook konzentriert sich auf den IR-Lebenszyklus:

  • Kontrolle herstellen.

  • Auswirkung bestimmen.

  • Gegebenenfalls Wiederherstellung durchführen.

  • Grundursache untersuchen.

  • Verbessern.

Im Folgenden sind die Indikatoren für Gefährdungen (IOC), die ersten Schritte (Blutung stillen) und die detaillierten CLI-Befehle, die zur Ausführung dieser Schritte erforderlich sind, aufgeführt.

Annahmen

  • CLI konfiguriert und installiert.

  • Der Meldeprozess wurde bereits eingeführt.

  • Trusted Advisor ist aktiv.

  • Security Hub ist aktiv.

Indikatoren für Gefährdungen

  • Für das Konto ungewöhnliche Aktivitäten.

    • Erstellung von IAM-Benutzern.

    • CloudTrail ist deaktiviert.

    • Cloudwatch ist deaktiviert.

    • SNS wurde angehalten.

    • Step Functions wurde angehalten.

  • Einführung neuer oder unerwarteter AMIs.

  • Änderungen der Kontakte im Konto.

Schritte zur Problembehebung – Kontrolle herstellen

In der AWS-Dokumentation für ein möglicherweise gefährdetes Konto werden die nachstehenden konkreten Aufgaben beschrieben. Die Dokumentation für ein möglicherweise gefährdetes Konto finden Sie unter: Was soll ich tun, wenn ich eine unbefugte Aktivität in meinem AWS-Konto feststelle?

  1. Wenden Sie sich umgehend an AWS -Support und TAM.

  2. Ändern und rotieren Sie das Root-Passwort und fügen Sie ein mit Root verknüpftes MFA-Gerät hinzu.

  3. Rotieren Sie Passwörter, Zugriffs-/geheime Schlüssel und CLI-Befehle, die für die Schritte zur Problembehebung relevant sind.

  4. Überprüfen Sie die vom Root-Benutzer ergriffenen Aktionen.

  5. Öffnen Sie die Runbooks für diese Aktionen.

  6. Schließen Sie den Vorfall.

  7. Überprüfen Sie den Vorfall und untersuchen Sie seine Ursache.

  8. Beheben Sie die zugrunde liegenden Probleme, implementieren Sie Verbesserungen und aktualisieren Sie gegebenenfalls das Runbook.

Weitere Maßnahmen – Auswirkung ermitteln

Überprüfen Sie erstellte Elemente und mutierende Anrufe. Möglicherweise wurden Elemente erstellt, um in Zukunft den Zugriff zu ermöglichen. Achten Sie auf Folgendes:

  • Kontoübergreifende IAM-Rollen

  • IAM-Benutzer.

  • S3-Buckets.

  • EC2-Instances.

  • [Ihre Anwendung und Infrastruktur werden diese Liste ergänzen.]