Respon terhadap aktivitas pengguna root - Panduan Pengguna Tingkat Lanjut AMS
PersiapkanFase A: MendeteksiFase B: AnalisisFase C: Mengandung dan MembasmiLaporan Pasca Insiden

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Respon terhadap aktivitas pengguna root

Pengguna root adalah superuser di dalam AWS akun Anda. Perhatikan bahwa AMS memantau penggunaan root. Ini adalah praktik terbaik untuk menggunakan pengguna root hanya untuk beberapa tugas yang memerlukannya, seperti mengubah pengaturan akun Anda, mengaktifkan akses AWS Identity and Access Management (IAM) ke penagihan dan manajemen biaya, mengubah kata sandi root Anda, dan mengaktifkan otentikasi multi-faktor (MFA). Untuk informasi selengkapnya, lihat Tugas yang memerlukan kredensi pengguna root.

Untuk informasi selengkapnya tentang cara menginformasikan AMS tentang penggunaan root yang direncanakan, lihat Kapan dan cara menggunakan akun root di AMS.

Ketika aktivitas pengguna root terdeteksi, upaya gagal untuk masuk yang mungkin menunjukkan serangan brute force atau aktivitas di akun setelah login berhasil, peristiwa yang dihasilkan, dan insiden yang dikirim ke kontak keamanan yang Anda tentukan.

AWS Managed Services Operations menyelidiki aktivitas pengguna root yang tidak direncanakan, melakukan pengumpulan data, triase, dan analisis, serta melakukan aktivitas penahanan sesuai arahan Anda, diikuti dengan analisis pasca peristiwa.

Jika Anda memiliki model operasi AMS Advanced, Anda menerima komunikasi tambahan dari insinyur AMS CSDM dan AMS Ops yang mengonfirmasi aktivitas pengguna root yang tidak direncanakan karena tanggung jawab AMS untuk mengamankan kredenal pengguna root. AMS menyelidiki aktivitas pengguna root hingga Anda mengonfirmasi jalur ke depan.

Persiapkan

Beri tahu AMS tentang penggunaan pengguna root yang direncanakan dengan mengirimkan permintaan layanan AMS dengan data dan waktu acara yang direncanakan untuk mencegah aktivitas respons insiden yang tidak perlu.

Lakukan secara berkala GameDays dengan AMS untuk memvalidasi proses respons insiden pelanggan AMS, orang dan sistem terkini, dan membangun memori otot dengan individu yang bertanggung jawab untuk mencapai respons insiden yang lebih cepat.

Fase A: Mendeteksi

AMS memantau aktivitas root di akun melalui sumber deteksi termasuk GuardDuty dan pemantauan AMS.

Jika Anda memiliki AMS Accelerate, model operasi merespons insiden yang meminta penyelidikan untuk aktivitas pengguna root yang tidak terduga. Ketika ini terjadi, Operasi AMS memulai runbook Akun Terkompromi.

Jika Anda memiliki AMS Advanced, model operasi merespons insiden tersebut, atau memberi tahu CSDM tentang aktivitas pengguna root yang direncanakan untuk menghentikan investigasi Kompromi Akun yang aktif.

Fase B: Analisis

AMS melakukan penyelidikan menyeluruh terhadap peristiwa pengguna root ketika ditentukan bahwa aktivitas tersebut tidak diotorisasi. Menggunakan otomatisasi dan tim respons keamanan AMS, log dan peristiwa dianalisis untuk anomali dan perilaku tak terduga bagi pengguna root. Log diberikan kepada Anda untuk membantu menentukan apakah aktivitas tersebut tidak diketahui, atau apakah itu adalah peristiwa pengguna root resmi, atau jika memerlukan penyelidikan lebih lanjut.

Beberapa contoh informasi yang diberikan selama penyelidikan untuk mendukung pemeriksaan internal meliputi:

  • Informasi akun: Akun apa yang digunakan akun root?

  • Alamat e-mail untuk pengguna root: Setiap pengguna root dikaitkan dengan alamat e-mail dari organisasi Anda

  • Detail otentikasi: Dari mana dan kapan pengguna root mengakses lingkungan Anda?

  • Catatan aktivitas: Apa yang dilakukan pengguna saat masuk sebagai root? Catatan-catatan ini dalam bentuk CloudWatch peristiwa. Memahami cara membaca log ini membantu dalam penyelidikan.

Ini adalah praktik terbaik bahwa Anda siap menerima informasi analisis dan memiliki rencana bagaimana mencapai titik kontak resmi untuk akun dalam organisasi Anda. Karena pengguna root tidak disebut sebagai individu, menentukan siapa yang memiliki akses ke alamat email root yang digunakan untuk akun dalam organisasi Anda membantu merutekan pertanyaan secara internal dengan cepat.

Fase C: Mengandung dan Membasmi

AMS bermitra dengan tim keamanan Anda untuk melakukan penahanan sesuai arahan kontak Keamanan Pelanggan resmi Anda. Opsi penahanan meliputi:

  • Memutar kredensi dan kunci yang sesuai.

  • Mengakhiri sesi aktif ke akun dan sumber daya.

  • Memberantas sumber daya yang dibuat.

Selama aktivitas penahanan, AMS bekerja sama dengan tim keamanan Anda untuk memastikan setiap gangguan pada beban kerja Anda diminimalkan dan kredenal root diamankan dengan tepat.

Setelah rencana penahanan selesai, Anda bekerja dengan tim Operasi AMS untuk tindakan pemulihan apa pun yang diperlukan.

Laporan Pasca Insiden

Sebagaimana diperlukan, AMS memulai proses peninjauan investigasi untuk mengidentifikasi pelajaran apa pun yang dipetik. Sebagai bagian dari penyelesaian COE, AMS mengkomunikasikan temuan yang relevan kepada pelanggan yang terkena dampak untuk membantu mereka meningkatkan proses respons insiden mereka.

AMS mendokumentasikan semua detail akhir investigasi, mengumpulkan metrik yang sesuai, dan kemudian melaporkan insiden tersebut ke tim internal AMS mana pun yang memerlukan informasi, termasuk CSDM dan CA yang Anda tetapkan.