# Apêndice C: Exemplo de runbook
<a name="appendix-c-example-runbook"></a>

 Este exemplo de runbook a seguir representa uma única entrada de um runbook maior. **Este runbook não é oficial e é fornecido apenas como exemplo.** Conforme você cria seus runbooks, cada um de seus cenários pode evoluir para itens maiores com diferentes começos e indicadores de comprometimento, mas todos têm resultados ou ações semelhantes que precisam ser executadas. Perceber essa mudança também pode criar outras situações para respostas melhores ou mais perspicazes. 

## Runbook de resposta a incidentes: uso básico
<a name="incident-response-runbook-root-usage"></a>

### Objetivo
<a name="objective"></a>

 O objetivo deste runbook é fornecer orientações específicas sobre como gerenciar o uso da conta raiz da AWS. Este runbook não substitui uma estratégia detalhada de resposta a incidentes. Este runbook se concentra no ciclo de vida de resposta a incidentes: 
+  Estabelecer o controle. 
+  Determinar o impacto. 
+  Recuperar conforme necessário. 
+  Investigar a causa raiz. 
+  Aprimorar. 

 Os Indicadores de comprometimento (IOC), as etapas iniciais (interromper o sangramento) e os comandos detalhados da CLI necessários para executar essas etapas estão listados abaixo. 

### Pressuposições
<a name="assumptions"></a>
+  CLI configurada e instalada. 
+  O processo de relatório já está em vigor. 
+  O Trusted Advisor está ativo. 
+  O Security Hub está ativo. 

### Indicadores de comprometimento
<a name="indicators-of-compromise"></a>
+  Atividade anormal para a conta. 
  +  Criação de usuários do IAM. 
  +  O CloudTrail foi desativado. 
  +  O Cloudwatch foi desligado. 
  +  SNS pausado. 
  +  Step Functions pausado. 
+  Lançamento de AMIs novas ou inesperadas. 
+  Alterações nos contatos da conta. 

### Etapas de correção: estabelecer o controle
<a name="steps-to-remediate-establish-control"></a>

 A documentação da AWS para uma possível conta comprometida destaca as tarefas específicas listadas abaixo. A documentação de uma possível conta comprometida pode ser encontrada em: [O que eu faço se notar uma atividade não autorizada na minha conta da AWS?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

1.  Entre em contato com AWS Support e o TAM o mais rápido possível. 

1.  Altere e alterne a senha raiz e adicione um dispositivo com MFA associado à raiz. 

1.  Alterne senhas, chaves de acesso/secretas e comandos da CLI relevantes para as etapas de correção. 

1.  Revise as ações realizadas pelo usuário raiz. 

1.  Abra os runbooks para essas ações. 

1.  Encerre o incidente. 

1.  Analise o incidente e entenda o que aconteceu. 

1.  Corrija os problemas subjacentes, implemente melhorias e atualize o runbook conforme necessário. 

### Outras ações: determinar o impacto
<a name="further-action-items-determine-impact"></a>

 Revise os itens criados e as chamadas mutantes. Pode haver itens que foram criados para permitir o acesso no futuro. Alguns fatores a serem observados: 
+  Funções entre contas do IAM. 
+  Usuários do IAM. 
+  Buckets do S3. 
+  Instâncias do EC2. 
+  [Sua aplicação e sua infraestrutura conduzirão essa lista.]