Respuesta a la actividad del usuario root - Guía de usuario avanzada de AMS
PreparaciónFase A: DetectarFase B: AnalizarFase C: Contener y erradicarInforme posterior al incidente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Respuesta a la actividad del usuario root

El usuario raíz es el superusuario de su AWS cuenta. Tenga en cuenta que AMS monitorea el uso de root. Se recomienda utilizar el usuario root solo para las pocas tareas que lo requieran, como cambiar la configuración de la cuenta, activar el acceso AWS Identity and Access Management (IAM) a la facturación y la gestión de costes, cambiar la contraseña root y activar la autenticación multifactor (MFA). Para obtener más información, consulte Tareas que requieren credenciales de usuario raíz.

Para obtener más información sobre cómo informar a AMS del uso raíz planificado, consulte Cuándo y cómo usar la cuenta raíz en AMS.

Cuando se detecta actividad por parte del usuario root (intentos fallidos de iniciar sesión que podrían indicar un ataque de fuerza bruta o actividad en la cuenta tras iniciar sesión correctamente), se genera un evento y se envía un incidente a tus contactos de seguridad definidos.

AWS Managed Services Operations investiga la actividad no planificada de los usuarios raíz, lleva a cabo la recopilación, clasificación y análisis de datos y realiza actividades de contención según sus instrucciones, seguidas de un análisis posterior al evento.

Si tiene el modelo operativo AMS Advanced, recibirá comunicaciones adicionales de los ingenieros de AMS CSDM y AMS Ops en las que se confirmará la actividad no planificada de los usuarios raíz debido a la responsabilidad de AMS de proteger las credenciales de los usuarios raíz. AMS investiga la actividad de los usuarios root hasta que se confirme el camino a seguir.

Preparación

Informe a AMS de cualquier uso planificado del usuario root enviando una solicitud de servicio de AMS con los datos y las horas del evento planificado para evitar actividades innecesarias de respuesta a incidentes.

Póngase en contacto periódicamente GameDays con AMS para validar que los procesos de respuesta a incidentes de los clientes de AMS, las personas y los sistemas estén actualizados, y desarrolle la memoria muscular con las personas responsables para lograr una respuesta más rápida a los incidentes.

Fase A: Detectar

AMS supervisa la actividad raíz de las cuentas a través de fuentes de detección, incluida GuardDuty la supervisión de AMS.

Si tiene AMS Accelerate, el modelo operativo responde al incidente y solicita que se investigue la actividad inesperada del usuario root. Cuando esto ocurre, AMS Operations inicia el manual de cuentas comprometidas.

Si dispone de AMS Advanced, el modelo operativo responde al incidente o informa al CSDM de cualquier actividad planificada por parte de un usuario root para poner fin a una investigación en curso sobre una situación comprometida en la cuenta.

Fase B: analizar

AMS lleva a cabo una investigación exhaustiva de los eventos del usuario raíz cuando determina que la actividad no está autorizada. Utilizando tanto las automatizaciones como el equipo de respuesta de seguridad de AMS, los registros y los eventos se analizan para detectar anomalías y comportamientos inesperados en los usuarios root. Se proporcionan registros para ayudar a determinar si la actividad es desconocida, si se trata de un evento de un usuario raíz autorizado o si requiere una investigación más profunda.

Algunos ejemplos de la información proporcionada durante la investigación para respaldar las comprobaciones internas son:

  • Información de la cuenta: ¿En qué cuenta se utilizó la cuenta raíz?

  • Dirección de correo electrónico del usuario raíz: cada usuario raíz está asociado a una dirección de correo electrónico de su organización

  • Detalles de autenticación: ¿desde dónde y cuándo accedió el usuario raíz a su entorno?

  • Registros de actividad: ¿Qué hizo el usuario cuando inició sesión como root? Estos registros se presentan en forma de CloudWatch eventos. Comprender cómo leer estos registros ayuda en la investigación.

Se recomienda estar preparado para recibir la información de análisis y tener un plan sobre cómo llegar a los puntos de contacto autorizados para las cuentas de su organización. Como los usuarios raíz no se nombran como individuos, determinar quién tiene acceso a la dirección de correo electrónico raíz utilizada para la cuenta en su organización ayuda a dirigir rápidamente las preguntas internamente.

Fase C: Contener y erradicar

AMS colabora con sus equipos de seguridad para llevar a cabo la contención siguiendo las instrucciones de sus contactos autorizados de Customer Security. Las opciones de contención incluyen:

  • Rotación de las credenciales y claves apropiadas.

  • Finalizar las sesiones activas de las cuentas y los recursos.

  • Erradicar los recursos creados.

Durante las actividades de contención, AMS trabaja en estrecha colaboración con su equipo de seguridad para garantizar que se minimice cualquier interrupción en sus cargas de trabajo y que las credenciales raíz estén debidamente protegidas.

Una vez completado el plan de contención, trabajará con el equipo de operaciones de AMS para tomar las medidas de recuperación necesarias.

Informe posterior al incidente

Según sea necesario, AMS inicia el proceso de revisión de la investigación para identificar las lecciones aprendidas. Como parte de completar un COE, AMS comunica cualquier hallazgo relevante a los clientes afectados para ayudarlos a mejorar su proceso de respuesta a los incidentes.

AMS documenta todos los detalles finales de la investigación, recopila las métricas adecuadas y, a continuación, informa del incidente a los equipos internos de AMS que necesiten información, incluidos el CSDM y la CA asignados.