Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Reaktion auf Root-Benutzeraktivitäten
Der Root-Benutzer ist der Superuser in Ihrem AWS Konto. Beachten Sie, dass AMS die Root-Nutzung überwacht. Es hat sich bewährt, den Root-Benutzer nur für die wenigen Aufgaben zu verwenden, für die er erforderlich ist, z. B. um Ihre Kontoeinstellungen zu ändern, den AWS Identity and Access Management (IAM-) Zugriff auf die Abrechnung und das Kostenmanagement zu aktivieren, Ihr Root-Passwort zu ändern und die Multi-Faktor-Authentifizierung (MFA) zu aktivieren. Weitere Informationen finden Sie unter Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind.
Weitere Informationen darüber, wie AMS über die geplante Root-Nutzung informiert werden kann, finden Sie unter Wann und wie wird das Root-Konto in AMS verwendet?
Wenn Root-Benutzeraktivitäten erkannt werden, entweder fehlgeschlagene Anmeldeversuche, die auf einen Brute-Force-Angriff hinweisen könnten, oder Aktivitäten im Konto nach einer erfolgreichen Anmeldung, wird ein Ereignis generiert und ein Vorfall an Ihre definierten Sicherheitskontakte gesendet.
AWS Managed Services Operations untersucht ungeplante Root-Benutzeraktivitäten, führt Datenerfassung, Triage und Analyse durch und führt Eindämmungsaktivitäten auf Ihre Anweisung hin durch, gefolgt von einer Analyse nach dem Ereignis.
Wenn Sie das AMS Advanced-Betriebsmodell nutzen, erhalten Sie zusätzliche Mitteilungen von den Technikern von AMS CSDM und AMS Ops, die ungeplante Root-Benutzeraktivitäten bestätigen, da AMS für die Sicherung der Root-Benutzeranmeldedaten verantwortlich ist. AMS untersucht die Root-Benutzeraktivitäten, bis Sie einen weiteren Weg bestätigt haben.
Vorbereitung
Informieren Sie AMS über jede geplante Nutzung des Root-Benutzers, indem Sie eine AMS-Serviceanfrage mit den Daten und Zeiten des geplanten Ereignisses einreichen, um unnötige Maßnahmen zur Reaktion auf Vorfälle zu vermeiden.
Nehmen Sie regelmäßig Kontakt GameDays mit AMS auf, um die Prozesse von AMS zur Reaktion auf Kundenvorfälle zu überprüfen, Mitarbeiter und Systeme auf dem neuesten Stand zu halten, und bauen Sie gemeinsam mit verantwortlichen Personen ein gutes Gedächtnis auf, um eine schnellere Reaktion auf Vorfälle zu erreichen.
Phase A: Erkennen
AMS überwacht die Konten anhand von Erkennungsquellen, einschließlich GuardDuty AMS-Überwachung, auf Root-Aktivitäten.
Wenn Sie AMS Accelerate verwenden, reagiert das Betriebsmodell auf den Vorfall und fordert eine Untersuchung auf unerwartete Root-Benutzeraktivitäten an. In diesem Fall initiiert AMS Operations das Runbook für kompromittierte Konten.
Wenn Sie AMS Advanced verwenden, reagiert das Betriebsmodell auf den Vorfall oder informiert das CSDM über geplante Root-Benutzeraktivitäten, um eine aktive Untersuchung zur Kontengefährdung zu beenden.
Phase B: Analysieren
AMS führt eine gründliche Untersuchung der Root-Benutzerereignisse durch, wenn festgestellt wird, dass die Aktivität nicht autorisiert ist. Sowohl mithilfe von Automatisierungen als auch mithilfe des AMS Security Response Teams werden Protokolle und Ereignisse auf Anomalien und unerwartetes Verhalten von Root-Benutzern analysiert. Mithilfe von Protokollen können Sie feststellen, ob die Aktivität unbekannt ist, ob es sich um ein autorisiertes Root-Benutzer-Ereignis handelt oder ob weitere Untersuchungen erforderlich sind.
Zu den Informationen, die während der Untersuchung zur Unterstützung interner Kontrollen zur Verfügung gestellt wurden, gehören unter anderem:
Kontoinformationen: Für welches Konto wurde das Root-Konto verwendet?
E-Mail-Adresse für den Root-Benutzer: Jeder Root-Benutzer ist mit einer E-Mail-Adresse aus Ihrer Organisation verknüpft
Authentifizierungsdetails: Wo und wann hat der Root-Benutzer auf Ihre Umgebung zugegriffen?
Aktivitätsaufzeichnungen: Was hat der Benutzer getan, als er als Root angemeldet war? Diese Aufzeichnungen liegen in Form von CloudWatch Ereignissen vor. Zu verstehen, wie man diese Protokolle liest, hilft bei der Untersuchung.
Es hat sich bewährt, dass Sie bereit sind, die Analyseinformationen zu erhalten, und einen Plan haben, wie Sie autorisierte Ansprechpartner für Konten in Ihrem Unternehmen erreichen können. Da Stammbenutzer nicht als Einzelpersonen benannt werden, können Fragen schnell intern weitergeleitet werden, wenn Sie feststellen, wer Zugriff auf die für das Konto verwendete Stamm-E-Mail-Adresse innerhalb Ihrer Organisation hat.
Phase C: Eindämmen und Ausrotten
AMS arbeitet mit Ihren Sicherheitsteams zusammen, um die Eindämmung auf Anweisung Ihrer autorisierten Ansprechpartner für Kundensicherheit durchzuführen. Zu den Eindämmungsoptionen gehören:
Rotation der entsprechenden Anmeldeinformationen und Schlüssel.
Beenden aktiver Sitzungen mit Konten und Ressourcen.
Beseitigung der erstellten Ressourcen.
Während der Eindämmungsmaßnahmen arbeitet AMS eng mit Ihrem Sicherheitsteam zusammen, um sicherzustellen, dass Störungen Ihrer Workloads so gering wie möglich gehalten werden und die Root-Zugangsdaten angemessen gesichert sind.
Nach Abschluss des Eindämmungsplans arbeiten Sie mit dem AMS Operations Team zusammen, um alle erforderlichen Wiederherstellungsmaßnahmen durchzuführen.
Bericht nach dem Vorfall
Bei Bedarf leitet AMS den Überprüfungsprozess der Untersuchung ein, um alle gewonnenen Erkenntnisse zu ermitteln. Im Rahmen der Durchführung eines COE teilt AMS den betroffenen Kunden alle relevanten Ergebnisse mit, um ihnen zu helfen, ihren Prozess zur Reaktion auf Vorfälle zu verbessern.
AMS dokumentiert alle endgültigen Einzelheiten der Untersuchung, erfasst die entsprechenden Kennzahlen und meldet den Vorfall dann allen internen Teams von AMS, die Informationen benötigen, einschließlich der von Ihnen zugewiesenen CSDM und CA.
