Resposta à atividade do usuário root - Guia do usuário avançado do AMS
PrepararFase A: DetectarFase B: AnalisarFase C: Conter e erradicarRelatório pós-incidente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Resposta à atividade do usuário root

O usuário root é o superusuário em sua AWS conta. Observe que o AMS monitora o uso do root. É uma prática recomendada usar o usuário root somente para as poucas tarefas que o exigem, como alterar as configurações da conta, ativar o acesso AWS Identity and Access Management (IAM) ao faturamento e ao gerenciamento de custos, alterar sua senha raiz e ativar a autenticação multifator (MFA). Para obter mais informações, consulte Tarefas que exigem credenciais de usuário root.

Para obter mais informações sobre como informar o AMS sobre o uso raiz planejado, consulte Quando e como usar a conta raiz no AMS.

Quando a atividade do usuário root é detectada, ou tentativas malsucedidas de login que podem indicar um ataque de força bruta ou atividade na conta após um login bem-sucedido, um evento é gerado e um incidente é enviado aos seus contatos de segurança definidos.

O AWS Managed Services Operations investiga atividades não planejadas do usuário raiz, realiza coleta, triagem e análise de dados e realiza atividades de contenção sob sua orientação, seguidas pela análise pós-evento.

Se você tiver o modelo operacional AMS Advanced, receberá comunicações adicionais dos engenheiros do AMS CSDM e do AMS Ops que confirmam a atividade não planejada do usuário raiz devido à responsabilidade do AMS de proteger as credenciais do usuário raiz. O AMS investiga a atividade do usuário raiz até que você confirme um caminho a seguir.

Preparar

Avise o AMS sobre qualquer uso planejado do usuário raiz enviando uma solicitação de serviço do AMS com dados e horários do evento planejado para evitar atividades desnecessárias de resposta a incidentes.

Conduza periodicamente GameDays com a AMS para validar os processos de resposta a incidentes de clientes da AMS, se as pessoas e os sistemas estão atualizados e crie uma memória muscular com indivíduos responsáveis para obter uma resposta mais rápida a incidentes.

Fase A: Detectar

O AMS monitora a atividade raiz nas contas por meio de fontes de detecção, incluindo GuardDuty o monitoramento do AMS.

Se você tiver o AMS Accelerate, o modelo operacional responde ao incidente solicitando investigação de atividade inesperada do usuário raiz. Quando isso ocorre, o AMS Operations inicia o runbook de contas comprometidas.

Se você tiver o AMS Advanced, o modelo operacional responde ao incidente ou informa o CSDM sobre qualquer atividade planejada do usuário raiz para encerrar uma investigação ativa de comprometimento de conta.

Fase B: Analisar

O AMS realiza uma investigação completa dos eventos do usuário raiz quando é determinado que a atividade não está autorizada. Usando as automações e a equipe de resposta de segurança do AMS, os registros e eventos são analisados em busca de anomalias e comportamentos inesperados dos usuários root. Os registros são fornecidos para ajudar a determinar se a atividade é desconhecida, se é um evento autorizado do usuário root ou se requer uma investigação mais aprofundada.

Alguns exemplos das informações fornecidas durante a investigação para apoiar as verificações internas incluem:

  • Informações da conta: em qual conta a conta raiz foi usada?

  • Endereço de e-mail do usuário raiz: cada usuário raiz está associado a um endereço de e-mail da sua organização

  • Detalhes da autenticação: de onde e quando o usuário root acessou seu ambiente?

  • Registros de atividades: o que o usuário fez quando estava logado como root? Esses registros estão na forma de CloudWatch eventos. Entender como ler esses registros ajuda na investigação.

É uma prática recomendada que você esteja preparado para receber as informações de análise e ter um plano de como alcançar pontos de contato autorizados para contas em sua organização. Como os usuários raiz não são nomeados como indivíduos, determinar quem tem acesso ao endereço de e-mail raiz usado para a conta em sua organização ajuda a encaminhar rapidamente as perguntas internamente.

Fase C: Conter e erradicar

A AMS faz parceria com suas equipes de segurança para realizar a contenção sob a orientação de seus contatos autorizados de Segurança do Cliente. As opções de contenção incluem:

  • Rotação de credenciais e chaves apropriadas.

  • Encerramento de sessões ativas em contas e recursos.

  • Erradicando os recursos criados.

Durante as atividades de contenção, o AMS trabalha em estreita colaboração com sua equipe de segurança para garantir que qualquer interrupção em suas cargas de trabalho seja minimizada e que as credenciais raiz sejam protegidas adequadamente.

Depois que o plano de contenção for concluído, você trabalha com a equipe de operações do AMS para quaisquer ações de recuperação, conforme necessário.

Relatório pós-incidente

Conforme necessário, a AMS inicia o processo de revisão da investigação para identificar as lições aprendidas. Como parte da conclusão de um COE, a AMS comunica todas as descobertas relevantes aos clientes afetados para ajudá-los a melhorar seu processo de resposta a incidentes.

O AMS documenta todos os detalhes finais da investigação, coleta métricas apropriadas e, em seguida, relata o incidente a qualquer equipe interna do AMS que precise de informações, incluindo seu CSDM e CA designados.