View a markdown version of this page

Apêndice C: Exemplo de runbook - Guia de resposta a incidentes de segurança da AWS
Runbook de resposta a incidentes: uso básico

Apêndice C: Exemplo de runbook

Este exemplo de runbook a seguir representa uma única entrada de um runbook maior. Este runbook não é oficial e é fornecido apenas como exemplo. Conforme você cria seus runbooks, cada um de seus cenários pode evoluir para itens maiores com diferentes começos e indicadores de comprometimento, mas todos têm resultados ou ações semelhantes que precisam ser executadas. Perceber essa mudança também pode criar outras situações para respostas melhores ou mais perspicazes.

Runbook de resposta a incidentes: uso básico

Objetivo

O objetivo deste runbook é fornecer orientações específicas sobre como gerenciar o uso da conta raiz da AWS. Este runbook não substitui uma estratégia detalhada de resposta a incidentes. Este runbook se concentra no ciclo de vida de resposta a incidentes:

  • Estabelecer o controle.

  • Determinar o impacto.

  • Recuperar conforme necessário.

  • Investigar a causa raiz.

  • Aprimorar.

Os Indicadores de comprometimento (IOC), as etapas iniciais (interromper o sangramento) e os comandos detalhados da CLI necessários para executar essas etapas estão listados abaixo.

Pressuposições

  • CLI configurada e instalada.

  • O processo de relatório já está em vigor.

  • O Trusted Advisor está ativo.

  • O Security Hub está ativo.

Indicadores de comprometimento

  • Atividade anormal para a conta.

    • Criação de usuários do IAM.

    • O CloudTrail foi desativado.

    • O Cloudwatch foi desligado.

    • SNS pausado.

    • Step Functions pausado.

  • Lançamento de AMIs novas ou inesperadas.

  • Alterações nos contatos da conta.

Etapas de correção: estabelecer o controle

A documentação da AWS para uma possível conta comprometida destaca as tarefas específicas listadas abaixo. A documentação de uma possível conta comprometida pode ser encontrada em: O que eu faço se notar uma atividade não autorizada na minha conta da AWS?

  1. Entre em contato com AWS Support e o TAM o mais rápido possível.

  2. Altere e alterne a senha raiz e adicione um dispositivo com MFA associado à raiz.

  3. Alterne senhas, chaves de acesso/secretas e comandos da CLI relevantes para as etapas de correção.

  4. Revise as ações realizadas pelo usuário raiz.

  5. Abra os runbooks para essas ações.

  6. Encerre o incidente.

  7. Analise o incidente e entenda o que aconteceu.

  8. Corrija os problemas subjacentes, implemente melhorias e atualize o runbook conforme necessário.

Outras ações: determinar o impacto

Revise os itens criados e as chamadas mutantes. Pode haver itens que foram criados para permitir o acesso no futuro. Alguns fatores a serem observados:

  • Funções entre contas do IAM.

  • Usuários do IAM.

  • Buckets do S3.

  • Instâncias do EC2.

  • [Sua aplicação e sua infraestrutura conduzirão essa lista.]