부록 C: 예제 런북
다음 예제 런북은 더 큰 런북의 단일 항목을 나타냅니다. 이 런북은 비공식적이며 예로만 제공됩니다. 런북을 만들 때 각 시나리오는 시작과 손상 지표는 다르지만 결과나 취해야 할 조치가 모두 비슷한 더 큰 항목으로 발전할 수 있습니다. 이런 식으로 변화를 주면 더 나은 또는 더 통찰력 있는 대응을 할 수 있는 상황이 열릴 수도 있습니다.
인시던트 대응 런북 - 루트 사용
목표
이 런북의 목적은 루트 AWS 계정 사용을 관리하는 방법에 대한 구체적인 가이드를 제공하는 것입니다. 이 런북은 심층적인 인시던트 대응 전략을 대체하지 않습니다. 이 런북은 IR 수명 주기에 중점을 둡니다.
-
제어를 설정합니다.
-
영향을 파악합니다.
-
필요한 경우 복구합니다.
-
근본 원인을 조사합니다.
-
개선합니다.
아래에는 IOC(손상 지표), 초기 단계(유출 중지) 및 이러한 단계를 실행하는 데 필요한 자세한 CLI 명령이 나열되어 있습니다.
가정
-
CLI가 설치되고 구성되어 있습니다.
-
보고 프로세스가 이미 진행 중입니다.
-
Trusted Advisor가 활성화되어 있습니다.
-
Security Hub가 활성화되어 있습니다.
손상 지표
-
계정에서 비정상적인 활동이 있습니다.
-
IAM 사용자가 생성되었습니다.
-
CloudTrail이 꺼졌습니다.
-
CloudWatch가 꺼졌습니다.
-
SNS가 일시 중지되었습니다.
-
Step Functions가 일시 중지되었습니다.
-
-
AMI가 예상치 않게 시작되거나 새로 시작되었습니다.
-
계정의 연락처가 변경되었습니다.
문제 해결 단계 - 제어 설정
아래에는 문제가 발생했을 수 있는 계정에 대해 취할 수 있는 AWS 설명서의 구체적인 작업이 나와 있습니다. 문제가 발생했을 수 있는 계정에 대한 설명서는 AWS 계정에서 무단 활동이 발견되면 어떻게 해야 합니까?
-
가능한 한 빨리 AWS Support 및 TAM에 문의합니다.
-
루트 암호를 변경 및 교체하고 루트와 연결된 MFA 디바이스를 추가합니다.
-
문제 해결 단계와 관련된 암호, 액세스/비밀 키 및 CLI 명령을 바꿉니다.
-
루트 사용자가 수행한 작업을 검토합니다.
-
해당 작업에 대한 런북을 엽니다.
-
인시던트를 종결합니다.
-
인시던트를 검토하고 발생한 상황을 파악합니다.
-
근본적인 문제를 수정하고, 개선 사항을 구현하고, 필요에 따라 런북을 업데이트합니다.
추가 조치 항목 - 영향 파악
생성된 항목과 변이 호출을 검토합니다. 향후 액세스를 허용하기 위해 생성된 항목이 있을 수 있습니다. 확인 사항은 다음과 같습니다.
-
IAM 교차 계정 역할
-
IAM 사용자
-
S3 버킷
-
EC2 인스턴스
-
[이 목록은 애플리케이션과 인프라에서 생성됩니다.]
