# Appendice C: runbook di esempio
<a name="appendix-c-example-runbook"></a>

 Il seguente runbook di esempio rappresenta una singola voce di un runbook più grande. **Questo runbook non è ufficiale e viene fornito solo come esempio.** Man mano che crei i tuoi runbook, ognuno dei tuoi scenari può evolversi in elementi più grandi che hanno inizi e indicatori di compromesso diversi, ma tutti hanno risultati o operazioni simili che devono essere intrapresi. Realizzare questo cambiamento può anche aprire altre situazioni a risposte migliori o più approfondite. 

## Runbook di risposta agli incidenti: utilizzo root
<a name="incident-response-runbook-root-usage"></a>

### Obiettivo
<a name="objective"></a>

 L'obiettivo di questo runbook è fornire indicazioni specifiche su come gestire l'utilizzo dell'account Root AWS. Questo runbook non sostituisce una strategia approfondita di risposta agli incidenti. Questo runbook si concentra sul ciclo di vita IR: 
+  Stabilire il controllo. 
+  Determinare l'impatto. 
+  Ripristino secondo necessità. 
+  Indagare sulla causa principale. 
+  Migliorare. 

 Gli indicatori di compromesso (IOC), i passaggi iniziali (fermare le perdite) e i comandi dettagliati della CLI necessari per eseguire tali passaggi sono elencati di seguito. 

### Presupposti
<a name="assumptions"></a>
+  CLI configurata e installata. 
+  Il processo di reporting è già in atto. 
+  Trusted Advisor è attivo. 
+  Security Hub è attivo. 

### Indicatori di compromesso
<a name="indicators-of-compromise"></a>
+  Attività anomala per l'account. 
  +  Creazione di utenti IAM. 
  +  CloudTrail è disattivato. 
  +  Cloudwatch è disattivato. 
  +  SNS è in pausa. 
  +  Step Functions è in pausa. 
+  Avvio di AMI nuove o impreviste. 
+  Modifiche ai contatti sull'account. 

### Passaggi per correggere: stabilire il controllo
<a name="steps-to-remediate-establish-control"></a>

 La documentazione AWS per un possibile account compromesso richiama le attività specifiche elencate di seguito. La documentazione per un possibile account compromesso è disponibile nella sezione: [What do I do if I notice unauthorized activity in my AWS account?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) (Cosa devo fare se noto attività non autorizzate nel mio account AWS?) 

1.  Contatta Supporto AWS e il TAM il prima possibile. 

1.  Cambia e ruota la password root e aggiungi un dispositivo MFA associato a root. 

1.  Ruota le password, le chiavi di accesso/segrete e i comandi CLI rilevanti per le fasi di correzione. 

1.  Esamina le operazioni intraprese dall'utente root. 

1.  Apri i runbook relativi a queste operazioni. 

1.  Chiudi l'incidente. 

1.  Esamina l'incidente e comprendi cosa è successo. 

1.  Risolvi i problemi sottostanti, implementa miglioramenti e aggiorna il runbook secondo necessità. 

### Ulteriori operazioni: determinare l'impatto
<a name="further-action-items-determine-impact"></a>

 Esamina gli elementi creati e le chiamate mutevoli. Potrebbero esserci elementi che sono stati creati per consentire l'accesso in futuro. Alcuni elementi da esaminare: 
+  Ruoli IAM per più account. 
+  Utenti IAM. 
+  Bucket S3. 
+  Istanze EC2. 
+  [L'applicazione e l'infrastruttura guideranno questo elenco.]