附录 C:示例运行手册
下面的示例运行手册表示较大运行手册的一个条目。此运行手册是非官方的,仅作为示例提供。 在制作运行手册时,每种情景都可能演变成具有不同的起点和妥协指标的更大项目,但都有类似的结果或需要采取的行动。意识到这种变化还可以使其他情况得到更好或更有见地的回应。
事件响应运行手册 – Root 使用情况
目标
本运行手册的目的是提供有关如何管理 Root AWS 账户使用情况的具体指导。本运行手册不能替代深入的事件响应策略。本运行手册重点介绍事件响应生命周期:
-
建立控制。
-
确定影响。
-
根据需要恢复。
-
调查根本原因。
-
改进。
下面列出了妥协指标(IOC)、初始步骤(止血)以及执行这些步骤所需的详细 CLI 命令。
假设
-
已配置并安装了 CLI。
-
报告程序已经到位。
-
Trusted Advisor 处于活动状态。
-
Security Hub 处于活动状态。
妥协指标
-
账户出现异常的活动。
-
创建 IAM 用户。
-
CloudTrail 已关闭。
-
CloudWatch 已关闭。
-
SNS 已暂停。
-
Step Functions 已暂停。
-
-
启动新的或意外的 AMI。
-
账户中联系人的更改。
修复步骤 – 建立控制
有关可能被盗用账户调用下面列出的特定任务的 AWS 文档。有关可能被盗用账户的文档可在以下网址找到:发现我的 AWS 账户中存在未经授权的活动时该怎么办?
-
请尽快联系 AWS 支持 和 TAM。
-
更改和轮换 Root 密码,然后添加与 Root 关联的 MFA 设备。
-
轮换密码、访问密钥/私有密钥和与修复步骤相关的 CLI 命令。
-
查看 Root 用户执行的操作。
-
打开这些操作的运行手册。
-
关闭事件。
-
查看事件并了解发生了什么。
-
修复基本问题,实施改进,并根据需要更新运行手册。
进一步的操作项目 – 确定影响
查看创建的项目和变异的调用。可能已创建一些项目以允许将来访问。需要关注的一些事项:
-
IAM 跨账户角色。
-
IAM 用户。
-
S3 存储桶。
-
EC2 实例。
-
[根据您的应用程序和基础设施,此列表会有所不同。]
