Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risposta all'attività dell'utente root
L'utente root è il superutente del tuo AWS account. Tieni presente che AMS monitora l'utilizzo dei root. È consigliabile utilizzare l'utente root solo per le poche attività che lo richiedono, ad esempio modificare le impostazioni dell'account, attivare l'accesso AWS Identity and Access Management (IAM) alla fatturazione e alla gestione dei costi, modificare la password root e attivare l'autenticazione a più fattori (MFA). Per ulteriori informazioni, consulta Attività che richiedono credenziali utente root.
Per ulteriori informazioni su come informare AMS dell'utilizzo root pianificato, consulta Quando e come utilizzare l'account root in AMS.
Quando viene rilevata un'attività dell'utente root, sia che si tratti di tentativi falliti di accesso, che potrebbero indicare un attacco di forza bruta, sia di attività nell'account dopo un accesso riuscito, viene generato un evento e viene inviato un incidente ai contatti di sicurezza definiti.
AWS Managed Services Operations analizza le attività non pianificate degli utenti root, esegue la raccolta, il triage e l'analisi dei dati ed esegue attività di contenimento secondo le tue indicazioni, seguite dall'analisi post-evento.
Se utilizzi il modello operativo AMS Advanced, ricevi comunicazioni aggiuntive dagli ingegneri di AMS CSDM e AMS Ops che confermano l'attività non pianificata dell'utente root, dovuta alla responsabilità di AMS di proteggere le credenziali degli utenti root. AMS analizza l'attività dell'utente root fino a quando non viene confermato un percorso da seguire.
Preparazione
Informate AMS di qualsiasi utilizzo pianificato dell'utente root inviando una richiesta di servizio AMS con i dati e gli orari dell'evento pianificato per evitare attività di risposta agli incidenti non necessarie.
Rivolgiti periodicamente GameDays ad AMS per verificare che i processi di risposta agli incidenti dei clienti di AMS siano aggiornati, le persone e i sistemi e costruisci una memoria muscolare con le persone responsabili per ottenere una risposta più rapida agli incidenti.
Fase A: rilevamento
AMS monitora l'attività principale negli account attraverso fonti di rilevamento, tra cui GuardDuty il monitoraggio AMS.
Se disponi di AMS Accelerate, il modello operativo risponde all'incidente richiedendo un'indagine per eventuali attività impreviste dell'utente root. Quando ciò si verifica, AMS Operations avvia il Compromised Account runbook.
Se disponi di AMS Advanced, il modello operativo risponde all'incidente o informa il CSDM di qualsiasi attività pianificata dell'utente root per chiudere un'indagine attiva sulla compromissione dell'account.
Fase B: analisi
AMS esegue un'indagine approfondita sugli eventi degli utenti root quando determina che l'attività non è autorizzata. Utilizzando sia le automazioni che il team di risposta alla sicurezza AMS, i log e gli eventi vengono analizzati alla ricerca di anomalie e comportamenti imprevisti per gli utenti root. I log vengono forniti per aiutare a determinare se l'attività è sconosciuta, se si tratta di un evento utente root autorizzato o se richiede ulteriori indagini.
Alcuni esempi delle informazioni fornite durante l'indagine a supporto dei controlli interni includono:
Informazioni sull'account: su quale account è stato utilizzato l'account root?
Indirizzo e-mail per l'utente root: ogni utente root è associato a un indirizzo e-mail dell'organizzazione
Dettagli di autenticazione: da dove e quando l'utente root ha avuto accesso al vostro ambiente?
Record di attività: cosa ha fatto l'utente dopo aver effettuato l'accesso come root? Questi record sono sotto forma di CloudWatch eventi. Capire come leggere questi registri aiuta nelle indagini.
È consigliabile essere pronti a ricevere le informazioni di analisi e disporre di un piano per contattare i punti di contatto autorizzati per gli account all'interno dell'organizzazione. Poiché gli utenti root non vengono nominati come individui, determinare chi ha accesso all'indirizzo di posta elettronica principale utilizzato per l'account all'interno dell'organizzazione aiuta a indirizzare rapidamente le domande all'interno dell'organizzazione.
Fase C: contenimento ed eliminazione
AMS collabora con i tuoi team di sicurezza per eseguire il contenimento seguendo le indicazioni dei tuoi contatti autorizzati per la Customer Security. Le opzioni di contenimento includono:
Rotazione delle credenziali e delle chiavi appropriate.
Interruzione delle sessioni attive su account e risorse.
Eliminazione delle risorse create.
Durante le attività di contenimento, AMS collabora a stretto contatto con il vostro team di sicurezza per garantire che eventuali interruzioni dei carichi di lavoro siano ridotte al minimo e che le credenziali root siano protette in modo adeguato.
Una volta completato il piano di contenimento, collaborerai con il team operativo di AMS per tutte le azioni di ripristino necessarie.
Rapporto successivo all'incidente
Se necessario, AMS avvia il processo di revisione delle indagini per identificare le lezioni apprese. Come parte del completamento di un COE, AMS comunica tutti i risultati pertinenti ai clienti interessati per aiutarli a migliorare il processo di risposta agli incidenti.
AMS documenta tutti i dettagli finali dell'indagine, raccoglie le metriche appropriate e quindi segnala l'incidente a tutti i team interni di AMS che richiedono informazioni, compresi il CSDM e la CA assegnati.
