View a markdown version of this page

Annexe C : Exemple de runbook - Guide de réponse aux incidents de sécurité AWS
Runbook de réponse aux incidents – Utilisation du compte racine

Annexe C : Exemple de runbook

L'exemple de runbook suivant représente une seule entrée d'un runbook plus important. Ce runbook n'est pas officiel et n'est fourni qu'à titre d'exemple. Au fur et à mesure que vous concevez vos runbooks, chacun de vos scénarios peut évoluer vers des éléments plus importants ayant des débuts et des indicateurs de compromis différents, mais ayant tous des résultats similaires ou des actions similaires qui doivent être entreprises. Ce changement peut également offrir des réponses meilleures ou plus pertinentes pour d'autres situations.

Runbook de réponse aux incidents – Utilisation du compte racine

Objectif

L'objectif de ce runbook est de fournir des conseils spécifiques sur la façon de gérer l'utilisation du compte AWS racine. Ce runbook ne remplace pas une stratégie approfondie de réponse aux incidents. Ce runbook se concentre sur le cycle de vie des réponses aux incidents :

  • Établir le contrôle

  • Déterminer l'impact

  • Procéder à la récupération en fonction des besoins

  • Déterminer la cause première

  • Améliorer

Les indicateurs de compromission, les étapes initiales (arrêter l'hémorragie) et les commandes CLI détaillées nécessaires pour exécuter ces étapes sont répertoriés ci-dessous.

Hypothèses

  • Interface de ligne de commande (CLI) configurée et installée.

  • Le processus de signalement est déjà en place.

  • Trusted Advisor est activé.

  • Security Hub est activé.

Indicateurs de compromission

  • Activité anormale pour le compte.

    • Création d'utilisateurs IAM.

    • CloudTrail est désactivé.

    • Cloudwatch est désactivé.

    • SNS est mis en pause.

    • Step Functions est mis en pause.

  • Lancement d'AMI nouvelles ou inattendues.

  • Modifications apportées aux contacts du compte.

Étapes permettant de corriger la situation – Établir le contrôle

En cas de suspicion de compte compromis, la documentation AWS indique les tâches spécifiques répertoriées ci-dessous. La documentation relative à la suspicion de compte compromis se trouve sur la page suivante : Que faire si je remarque une activité non autorisée dans mon compte AWS ?

  1. Contactez AWS Support et le gestionnaire technique du compte (TAM) dès que possible.

  2. Modifiez et procédez à la rotation du mot de passe racine, et ajoutez un dispositif MFA associé à la racine.

  3. Procédez à la rotation des mots de passe, des clés d'accès/des clés secrètes et des commandes CLI pertinentes pour les étapes de correction.

  4. Passez en revue les actions entreprises par l'utilisateur racine.

  5. Ouvrez les runbooks qui correspondent à ces actions.

  6. Procédez à la fermeture de l'incident.

  7. Examinez l'incident. Vous devez comprendre ce qui s'est passé.

  8. Corrigez les problèmes sous-jacents, implémentez des améliorations et mettez à jour le runbook si nécessaire.

Autres mesures à prendre — Déterminer l'impact

Passez en revue les éléments créés et les appels mutants. Certains éléments ont peut-être été créés pour autoriser l'accès à l'avenir. Quelques points à examiner :

  • Rôles entre comptes IAM

  • Utilisateurs IAM

  • Compartiments S3

  • Instances EC2

  • [Élaborez cette liste en fonction de votre application et de votre infrastructure.]