Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réponse à l'activité de l'utilisateur root
L'utilisateur root est le superutilisateur de votre AWS compte. Notez qu'AMS surveille l'utilisation du root. Il est recommandé de n'utiliser l'utilisateur root que pour les quelques tâches qui le nécessitent, par exemple pour modifier les paramètres de votre compte, activer l'accès Gestion des identités et des accès AWS (IAM) à la facturation et à la gestion des coûts, modifier votre mot de passe root et activer l'authentification multifactorielle (MFA). Pour plus d'informations, consultez la section Tâches nécessitant des informations d'identification de l'utilisateur root.
Pour plus d'informations sur la manière d'informer AMS de l'utilisation prévue du compte root, consultez Quand et comment utiliser le compte root dans AMS.
Lorsque l'activité d'un utilisateur root est détectée, il s'agit soit de tentatives infructueuses de connexion susceptibles d'indiquer une attaque par force brute, soit d'une activité sur le compte après une connexion réussie, un événement se produit et un incident est envoyé aux contacts de sécurité que vous avez définis.
AWS Managed Services Operations enquête sur les activités imprévues des utilisateurs root, collecte, triage et analyse des données, et réalise des activités de confinement selon vos instructions, suivies d'une analyse post-événement.
Si vous utilisez le modèle d'exploitation AMS Advanced, vous recevez des communications supplémentaires de la part des ingénieurs AMS CSDM et AMS Ops qui confirment l'activité imprévue de l'utilisateur root en raison de la responsabilité d'AMS de sécuriser les informations d'identification de l'utilisateur root. AMS enquête sur l'activité de l'utilisateur root jusqu'à ce que vous confirmiez la marche à suivre.
Préparation
Informez AMS de toute utilisation prévue d'un utilisateur root en soumettant une demande de service AMS avec les données et les heures de l'événement planifié afin d'éviter toute activité de réponse inutile aux incidents.
Travaillez régulièrement GameDays avec AMS pour valider les processus de réponse aux incidents des clients d'AMS, vérifier que le personnel et les systèmes sont à jour, et renforcer la mémoire musculaire auprès des personnes responsables afin de répondre plus rapidement aux incidents.
Phase A : détecter
AMS surveille l'activité root dans les comptes par le biais de sources de détection, notamment GuardDuty la surveillance AMS.
Si vous utilisez AMS Accelerate, le modèle de fonctionnement répond à l'incident demandant une enquête en cas d'activité inattendue de l'utilisateur root. Lorsque cela se produit, AMS Operations lance le runbook du compte compromis.
Si vous utilisez AMS Advanced, le modèle opérationnel répond à l'incident ou informe le CSDM de toute activité planifiée de l'utilisateur root afin de mettre fin à une enquête en cours sur la compromission d'un compte.
Phase B : Analyse
AMS effectue une enquête approfondie sur les événements de l'utilisateur root lorsqu'il est déterminé que l'activité n'est pas autorisée. À l'aide des automatismes et de l'équipe d'intervention de sécurité AMS, les journaux et les événements sont analysés pour détecter les anomalies et les comportements inattendus des utilisateurs root. Les journaux vous sont fournis pour vous aider à déterminer si l'activité est inconnue, s'il s'agit d'un événement impliquant un utilisateur root autorisé ou s'il nécessite une enquête plus approfondie.
Voici quelques exemples des informations fournies au cours de l'enquête pour étayer les contrôles internes :
Informations sur le compte : sur quel compte le compte root a-t-il été utilisé ?
Adresse e-mail de l'utilisateur root : chaque utilisateur root est associé à une adresse e-mail de votre organisation
Détails d'authentification : où et quand l'utilisateur root a-t-il accédé à votre environnement ?
Enregistrements d'activité : qu'a fait l'utilisateur lorsqu'il s'est connecté en tant que root ? Ces enregistrements prennent la forme d' CloudWatch événements. Comprendre comment lire ces journaux facilite les recherches.
Il est recommandé que vous soyez prêt à recevoir les informations d'analyse et que vous disposiez d'un plan pour contacter les points de contact autorisés pour les comptes au sein de votre organisation. Comme les utilisateurs root ne sont pas nommés en tant qu'individus, déterminer qui a accès à l'adresse e-mail racine utilisée pour le compte au sein de votre organisation permet d'acheminer rapidement les questions en interne.
Phase C : Contenir et éradiquer
AMS travaille en partenariat avec vos équipes de sécurité pour effectuer le confinement sous la direction de vos contacts agréés chargés de la sécurité client. Les options de confinement incluent :
Rotation des informations d'identification et des clés appropriées.
Fin des sessions actives sur les comptes et les ressources.
Eradiquer les ressources créées.
Au cours des activités de confinement, AMS travaille en étroite collaboration avec votre équipe de sécurité pour s'assurer que toute perturbation de vos charges de travail est minimisée et que les informations d'identification root sont correctement sécurisées.
Une fois le plan de confinement terminé, vous collaborez avec l'équipe des opérations d'AMS pour toutes les actions de restauration nécessaires.
Rapport post-incident
Selon les besoins, AMS lance le processus d'examen des enquêtes pour identifier les leçons apprises. Dans le cadre de l'élaboration d'un COE, AMS communique toutes les conclusions pertinentes aux clients concernés afin de les aider à améliorer leur processus de réponse aux incidents.
AMS documente tous les derniers détails de l'enquête, collecte les indicateurs appropriés, puis signale l'incident à toutes les équipes internes d'AMS qui ont besoin d'informations, y compris le CSDM et l'autorité de certification qui vous ont été assignés.
