View a markdown version of this page

Appendice C: runbook di esempio - Guida sulla risposta agli incidenti di sicurezza di AWS
Runbook di risposta agli incidenti: utilizzo root

Appendice C: runbook di esempio

Il seguente runbook di esempio rappresenta una singola voce di un runbook più grande. Questo runbook non è ufficiale e viene fornito solo come esempio. Man mano che crei i tuoi runbook, ognuno dei tuoi scenari può evolversi in elementi più grandi che hanno inizi e indicatori di compromesso diversi, ma tutti hanno risultati o operazioni simili che devono essere intrapresi. Realizzare questo cambiamento può anche aprire altre situazioni a risposte migliori o più approfondite.

Runbook di risposta agli incidenti: utilizzo root

Obiettivo

L'obiettivo di questo runbook è fornire indicazioni specifiche su come gestire l'utilizzo dell'account Root AWS. Questo runbook non sostituisce una strategia approfondita di risposta agli incidenti. Questo runbook si concentra sul ciclo di vita IR:

  • Stabilire il controllo.

  • Determinare l'impatto.

  • Ripristino secondo necessità.

  • Indagare sulla causa principale.

  • Migliorare.

Gli indicatori di compromesso (IOC), i passaggi iniziali (fermare le perdite) e i comandi dettagliati della CLI necessari per eseguire tali passaggi sono elencati di seguito.

Presupposti

  • CLI configurata e installata.

  • Il processo di reporting è già in atto.

  • Trusted Advisor è attivo.

  • Security Hub è attivo.

Indicatori di compromesso

  • Attività anomala per l'account.

    • Creazione di utenti IAM.

    • CloudTrail è disattivato.

    • Cloudwatch è disattivato.

    • SNS è in pausa.

    • Step Functions è in pausa.

  • Avvio di AMI nuove o impreviste.

  • Modifiche ai contatti sull'account.

Passaggi per correggere: stabilire il controllo

La documentazione AWS per un possibile account compromesso richiama le attività specifiche elencate di seguito. La documentazione per un possibile account compromesso è disponibile nella sezione: What do I do if I notice unauthorized activity in my AWS account? (Cosa devo fare se noto attività non autorizzate nel mio account AWS?)

  1. Contatta Supporto AWS e il TAM il prima possibile.

  2. Cambia e ruota la password root e aggiungi un dispositivo MFA associato a root.

  3. Ruota le password, le chiavi di accesso/segrete e i comandi CLI rilevanti per le fasi di correzione.

  4. Esamina le operazioni intraprese dall'utente root.

  5. Apri i runbook relativi a queste operazioni.

  6. Chiudi l'incidente.

  7. Esamina l'incidente e comprendi cosa è successo.

  8. Risolvi i problemi sottostanti, implementa miglioramenti e aggiorna il runbook secondo necessità.

Ulteriori operazioni: determinare l'impatto

Esamina gli elementi creati e le chiamate mutevoli. Potrebbero esserci elementi che sono stati creati per consentire l'accesso in futuro. Alcuni elementi da esaminare:

  • Ruoli IAM per più account.

  • Utenti IAM.

  • Bucket S3.

  • Istanze EC2.

  • [L'applicazione e l'infrastruttura guideranno questo elenco.]