# Apéndice C: Ejemplo de runbook
<a name="appendix-c-example-runbook"></a>

 El ejemplo de runbook siguiente representa una sola entrada de un runbook más extenso. **Este runbook no es oficial y se proporciona solo como ejemplo.** A medida que elabore sus runbooks, cada uno de los escenarios puede evolucionar en elementos más grandes que tienen comienzos e indicadores de riesgo distintos, pero todos con resultados o acciones similares que deben realizarse. Efectuar este cambio también puede dar lugar a otras situaciones que generen respuestas mejores o más minuciosas. 

## Runbook de respuesta ante incidentes: uso de la cuenta raíz
<a name="incident-response-runbook-root-usage"></a>

### Objetivo
<a name="objective"></a>

 El objetivo de este runbook es proporcionar orientación específica sobre cómo administrar el uso de la cuenta raíz de AWS. Este runbook no sustituye a una estrategia de respuesta ante incidentes exhaustiva. Se centra en el ciclo de vida de la respuesta ante incidentes: 
+  Establecimiento de control 
+  Determinación del impacto 
+  Recuperación según sea necesario 
+  Investigación de la causa raíz 
+  Mejora 

 Los indicadores de riesgo (IOC), los pasos iniciales (detener la «hemorragia») y los comandos detallados de la CLI necesarios para ejecutar esos pasos se enumeran a continuación. 

### Supuestos
<a name="assumptions"></a>
+  CLI configurada e instalada 
+  Proceso de generación de informes existente 
+  Trusted Advisor activo 
+  Security Hub activo 

### Indicadores de vulnerabilidad
<a name="indicators-of-compromise"></a>
+  Actividad que es anormal para la cuenta. 
  +  Creación de usuarios de IAM 
  +  CloudTrail desactivado 
  +  CloudWatch desactivado 
  +  SNS en pausa 
  +  Step Functions en pausa 
+  Lanzamiento de AMI nuevas o inesperadas 
+  Cambios en los contactos de la cuenta 

### Pasos de corrección: establecimiento de medidas de control
<a name="steps-to-remediate-establish-control"></a>

 La documentación de AWS para una cuenta posiblemente vulnerable indica las tareas específicas que se enumeran a continuación. La documentación para una cuenta posiblemente vulnerable puede encontrarse en la página sobre [qué hacer si se observa una actividad no autorizada en la cuenta de AWS.](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

1.  Póngase en contacto con AWS Support y el administrador técnico de la cuenta (TAM) lo antes posible. 

1.  Cambie y rote la contraseña raíz y agregue un dispositivo MFA asociado a la cuenta raíz. 

1.  Rote las contraseñas, las claves de acceso/secretas y los comandos de la CLI relevantes para los pasos de corrección. 

1.  Revise las acciones que realiza el usuario raíz. 

1.  Abra los runbooks correspondientes a esas acciones. 

1.  Cierre el incidente. 

1.  Revise el incidente e intente comprender lo que ha pasado. 

1.  Solucione los problemas subyacentes, implemente mejoras y actualice el runbook según sea necesario. 

### Elementos de acción adicionales: determinación del impacto
<a name="further-action-items-determine-impact"></a>

 Revise los elementos creados y las llamadas modificadas. Puede haber elementos que se hayan creado para permitir el acceso en el futuro. Algunos de los elementos que deben tenerse en cuenta son los siguientes: 
+  Roles entre cuentas de IAM 
+  Usuarios de IAM 
+  Buckets de S3 
+  Instancias de EC2 
+  [Su aplicación e infraestructura determinarán esta lista].