ルートユーザーアクティビティへのレスポンス - AMS Advanced ユーザーガイド
準備フェーズ A: 検出フェーズ B: 分析フェーズ C: 封じ込めと根絶インシデント後レポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ルートユーザーアクティビティへのレスポンス

ルートユーザーは、 AWS アカウント内のスーパーユーザーです。AMS はルート使用状況をモニタリングすることに注意してください。ルートユーザーは、アカウント設定の変更、請求とコスト管理への AWS Identity and Access Management (IAM) アクセスのアクティブ化、ルートパスワードの変更、多要素認証 (MFA) の有効化など、必要ないくつかのタスクにのみ使用することをお勧めします。詳細については、「ルートユーザーの認証情報を必要とするタスク」を参照してください。

計画されたルート使用状況を AMS に通知する方法の詳細については、「AMS でルートアカウントを使用するタイミングと方法」を参照してください。

ルートユーザーアクティビティが検出されると、ログインが成功した後にブルートフォース攻撃またはアカウント内のアクティビティを示すログインの試行に失敗すると、イベントが生成され、定義されたセキュリティ連絡先にインシデントが送信されます。

AWS Managed Servicesオペレーションは、計画外のルートユーザーアクティビティを調査し、データ収集、トリアージ、分析を実行し、お客様の指示に従って封じ込めアクティビティを実行し、イベント後分析を行います。

AMS Advanced 運用モデルを使用している場合は、AMS CSDM エンジニアと AMS Ops エンジニアから追加の通信を受け取り、ルートユーザーの認証情報を保護する AMS の責任により、計画外のルートユーザーのアクティビティを確認します。AMS は、パスフォワードを確認するまでルートユーザーのアクティビティを調査します。

準備

不要なインシデント対応アクティビティを防ぐために、計画されたイベントのデータと時刻を含む AMS サービスリクエストを送信することで、ルートユーザーの計画された使用について AMS に通知します。

AMS で GameDays を定期的に実施して、AMS の顧客インシデント対応プロセスを検証し、人員とシステムが最新であることを検証し、責任のある個人と連携し、インシデント対応を高速化します。

フェーズ A: 検出

AMS は、GuardDuty や AMS モニタリングなどの検出ソースを通じて、アカウントのルートアクティビティをモニタリングします。

AMS Accelerate がある場合、運用モデルはインシデントに応答し、予期しないルートユーザーアクティビティの調査を要求します。これが発生すると、AMS オペレーションは侵害されたアカウントのランブックを開始します。

AMS Advanced を使用している場合、運用モデルはインシデントに応答するか、計画されたルートユーザーアクティビティを CSDM に通知し、アクティブなアカウント侵害調査を終了します。

フェーズ B: 分析

AMS は、アクティビティが承認されていないと判断された場合、ルートユーザーイベントを徹底的に調査します。オートメーションと AMS セキュリティレスポンスチームの両方を使用して、ログとイベントがルートユーザーの異常と予期しない動作について分析されます。ログは、アクティビティが不明であるか、承認されたルートユーザーイベントであるか、さらに調査する必要があるかどうかを判断するのに役立ちます。

内部チェックをサポートするために調査中に提供される情報の例としては、次のようなものがあります。

  • アカウント情報: ルートアカウントはどのアカウントで使用されましたか?

  • ルートユーザーの E メールアドレス: 各ルートユーザーは、組織の E メールアドレスに関連付けられます。

  • 認証の詳細: ルートユーザーが環境にアクセスした場所と時間

  • アクティビティレコード: ルートとしてログインしたときに、ユーザーは何をしましたか? これらのレコードは CloudWatch イベントの形式です。これらのログの読み方を理解することは、調査に役立ちます。

分析情報を受け取る準備を整え、組織内のアカウントの承認された連絡先に到達する方法を計画しておくことがベストプラクティスです。ルートユーザーの名前は個人ではないため、組織内のアカウントに使用されるルート E メールアドレスにアクセスできるユーザーを特定すると、質問を内部ですばやくルーティングできます。

フェーズ C: 封じ込めと根絶

AMS はセキュリティチームと連携して、承認されたカスタマーセキュリティ担当者の指示に従って封じ込めを実行します。封じ込めオプションには以下が含まれます。

  • 適切な認証情報とキーの更新。

  • アカウントとリソースへのアクティブなセッションの終了。

  • 作成されたリソースを消去します。

封じ込めアクティビティ中、AMS はセキュリティチームと緊密に連携して、ワークロードの中断を最小限に抑え、ルート認証情報が適切に保護されるようにします。

封じ込め計画が完了したら、AMS オペレーションチームと協力して、必要に応じて復旧アクションを行います。

インシデント後レポート

必要に応じて、AMS は調査レビュープロセスを開始し、学んだ教訓を特定します。COE の完了の一環として、AMS は影響を受ける顧客に関連する検出結果を伝え、インシデント対応プロセスの改善を支援します。

AMS は調査のすべての最終詳細を文書化し、適切なメトリクスを収集し、割り当てられた CSDM や CA など、情報を必要とする AMS 内部チームにインシデントを報告します。