# 附錄 C：範例執行手冊
<a name="appendix-c-example-runbook"></a>

 以下範例執行手冊代表大型執行手冊的單一項目。**本執行手冊不是官方的，僅供範例參考。** 製作執行手冊時，每個場景都有可能演變成更大的項目，這些項目具有不同的起點和危害指標，但都有相似的結果或需要採取的動作。意識到這種變化還可能開啟其他情況，進而做出更好或更有洞察力的反應。 

## 事件回應執行手冊 – 根用途
<a name="incident-response-runbook-root-usage"></a>

### 目標
<a name="objective"></a>

 本執行手冊的目標是提供如何管理根 AWS 帳戶使用情況的具體指導。本執行手冊不能替代深入的事件回應策略。本執行手冊重點介紹 IR 生命週期： 
+  建立控制。 
+  判斷影響。 
+  根據需要加以復原。 
+  調查根本原因。 
+  改善。 

 下面列出危害指標 (IOC)、初始步驟 (停止危害) 以及執行這些步驟所需的詳細 CLI 命令。 

### 前提
<a name="assumptions"></a>
+  已設定並安裝 CLI。 
+  報告程序已就緒。 
+  Trusted Advisor 處於作用中狀態。 
+  Security Hub 處於作用中狀態。 

### 危害指標
<a name="indicators-of-compromise"></a>
+  帳戶有異常活動。 
  +  建立 IAM 使用者。
  +  CloudTrail 關閉。
  +  Cloudwatch 關閉。
  +  SNS 暫停。
  +  Step Functions 暫停。
+  啟動新的 AMI 或意外的 AMI。
+  變更帳戶上的聯絡人。

### 修復步驟 – 建立控制
<a name="steps-to-remediate-establish-control"></a>

 針對可能遭到入侵帳戶的 AWS 文件列出以下的特定任務。可能遭到入侵帳戶的相關文件可以在以下網址找到：[如果我發現自己的 AWS 帳戶中有未經授權的活動，我該怎麼辦？](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

1.  盡快聯絡 AWS 支援 和 TAM。

1.  變更和輪換根密碼，並新增與根關聯的 MFA 裝置。

1.  輪換密碼、存取/私有金鑰以及修復步驟相關的 CLI 命令。 

1.  檢閱根使用者採取的動作。 

1.  開啟這些動作的執行手冊。 

1.  關閉事件。 

1.  檢閱事件並了解發生了什麼事。 

1.  修正根本問題、實施改進，並根據需要更新執行手冊。 

### 進一步動作項目 – 判斷影響
<a name="further-action-items-determine-impact"></a>

 檢閱建立的項目和變動呼叫。可能有些項目已經建立，以允許未來存取。需要查看的一些項目為： 
+  IAM 跨帳戶角色。 
+  IAM 使用者。 
+  S3 儲存貯體。 
+  EC2 執行個體。 
+  [由您的應用程式和基礎設施推動此清單。]