# 附录 C：示例运行手册
<a name="appendix-c-example-runbook"></a>

 下面的示例运行手册表示较大运行手册的一个条目。**此运行手册是非官方的，仅作为示例提供。** 在制作运行手册时，每种情景都可能演变成具有不同的起点和妥协指标的更大项目，但都有类似的结果或需要采取的行动。意识到这种变化还可以使其他情况得到更好或更有见地的回应。 

## 事件响应运行手册 – Root 使用情况
<a name="incident-response-runbook-root-usage"></a>

### 目标
<a name="objective"></a>

 本运行手册的目的是提供有关如何管理 Root AWS 账户使用情况的具体指导。本运行手册不能替代深入的事件响应策略。本运行手册重点介绍事件响应生命周期： 
+  建立控制。 
+  确定影响。 
+  根据需要恢复。 
+  调查根本原因。 
+  改进。 

 下面列出了妥协指标（IOC）、初始步骤（止血）以及执行这些步骤所需的详细 CLI 命令。 

### 假设
<a name="assumptions"></a>
+  已配置并安装了 CLI。 
+  报告程序已经到位。 
+  Trusted Advisor 处于活动状态。 
+  Security Hub 处于活动状态。 

### 妥协指标
<a name="indicators-of-compromise"></a>
+  账户出现异常的活动。 
  +  创建 IAM 用户。
  +  CloudTrail 已关闭。
  +  CloudWatch 已关闭。
  +  SNS 已暂停。
  +  Step Functions 已暂停。
+  启动新的或意外的 AMI。
+  账户中联系人的更改。

### 修复步骤 – 建立控制
<a name="steps-to-remediate-establish-control"></a>

 有关可能被盗用账户调用下面列出的特定任务的 AWS 文档。有关可能被盗用账户的文档可在以下网址找到：[发现我的 AWS 账户中存在未经授权的活动时该怎么办？](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

1.  请尽快联系 AWS 支持 和 TAM。

1.  更改和轮换 Root 密码，然后添加与 Root 关联的 MFA 设备。

1.  轮换密码、访问密钥/私有密钥和与修复步骤相关的 CLI 命令。 

1.  查看 Root 用户执行的操作。 

1.  打开这些操作的运行手册。 

1.  关闭事件。 

1.  查看事件并了解发生了什么。 

1.  修复基本问题，实施改进，并根据需要更新运行手册。 

### 进一步的操作项目 – 确定影响
<a name="further-action-items-determine-impact"></a>

 查看创建的项目和变异的调用。可能已创建一些项目以允许将来访问。需要关注的一些事项： 
+  IAM 跨账户角色。 
+  IAM 用户。 
+  S3 存储桶。 
+  EC2 实例。 
+  [根据您的应用程序和基础设施，此列表会有所不同。]