付録 C: ランブックの例
次のランブックの例は、より大きなランブックの 1 つのエントリを表しています。このランブックは非公式であり、例としてのみ提供しています。 ランブックを作成していくうちに、各シナリオは進化して大規模化し、前提や侵害の指標は異なってきますが、いずれも結果や是正措置は似た内容になります。ランブックで変化を達成すると、他の状況でもより優れた対応やインサイトに富む対応ができるようになります。
インシデント対応ランブック - ルートの使用
目的
このランブックの目的は、AWS ルートアカウントの使用を管理する方法に関する具体的なガイダンスを提供することです。このランブックは、詳細なインシデント対応戦略に代わるものではありません。このランブックでは、以下の IR ライフサイクルに焦点を当てます。
-
コントロールを確立する。
-
影響を判断する。
-
必要に応じて復旧する。
-
根本原因を調査する。
-
改善する。
侵害の指標 (IOC)、初期ステップ (被害を食い止める)、およびこれらのステップを実行するために必要な詳細な CLI コマンドを以下に示します。
前提
-
CLI が設定およびインストール済みである。
-
報告プロセスが設定済みである。
-
Trusted Advisor がアクティブになっている。
-
Security Hub がアクティブになっている。
侵害の指標
-
アカウントでの異常なアクティビティ。
-
IAM ユーザーの作成。
-
CloudTrail がオフになっている。
-
Cloudwatch がオフになっている。
-
SNS が一時停止している。
-
Step Functions が一時停止している。
-
-
新しい AMI または予期しない AMI の起動。
-
アカウントでの連絡先の変更。
修正ステップ - コントロールの確立
侵害された可能性があるアカウントに関する AWS ドキュメントでは、以下の具体的なタスクを挙げています。侵害された可能性のあるアカウントに関するドキュメントは、「AWS アカウントの不正なアクティビティに気付いた場合、どうすればよいですか?
-
できるだけ早く AWS サポート と TAMに連絡する。
-
ルートパスワードの変更とローテーションを行い、ルートに関連する MFA デバイスを追加する。
-
修正ステップに関連するパスワード、アクセス/シークレットキー、CLI コマンドをローテーションする。
-
ルートユーザーが実行したアクションを確認する。
-
これらのアクションのランブックを開く。
-
インシデントを閉じる。
-
インシデントを確認し、何が起きたかを理解する。
-
根本的な問題を修正して、改善を実装し、必要に応じてランブックを更新する。
その他のアクション項目 - 影響を判断する
作成済みの項目と変化している呼び出しを確認します。将来アクセスできるように項目が作成済みになっている場合があります。以下を確認します。
-
IAM クロスアカウントロール。
-
IAM ユーザー。
-
S3 バケット。
-
EC2 インスタンス。
-
[このリストは、アプリケーションとインフラストラクチャで使用します。]
