本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 对 root 用户活动的响应
r [oot 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)是您 AWS 账户中的超级用户。请注意,AMS 会监控根用户使用情况。最佳做法是仅将根用户用于少数需要它的任务,例如更改账户设置、激活 AWS Identity and Access Management (IAM) 账单和成本管理权限、更改根密码以及开启多重身份验证 (MFA)。有关更多信息,请参阅[需要 root 用户凭据的任务](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root)。
有关如何通知 AMS 计划的 root 用户使用情况的更多信息,请参阅[何时以及如何在 AMS 中使用根账户](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html)。
当检测到 root 用户活动时,无论是登录尝试失败(可能表示暴力攻击)或成功登录后账户中的活动,都会生成一个事件并将事件发送给您定义的安全联系人。
AWS Managed Services Operations 调查计划外的根用户活动,执行数据收集、分类和分析,并按照您的指示执行遏制活动,然后进行事件后分析。
如果您使用的是 AMS Advanced 操作模式,则会收到来自 AMS CSDM 和 AMS Ops 工程师的额外通信,这些通信确认了由于 AMS 有责任保护根用户凭证而导致的计划外根用户活动。AMS 会调查 root 用户活动,直到您确认前进方向。
## 准备
通过提交 AMS 服务请求,告知 AMS 计划使用 root 用户的情况,包括计划中的事件的数据和时间,以防止不必要的事件响应活动。
定期 GameDays 与 AMS 合作,验证 AMS 的客户事件响应流程、人员和系统是否处于最新状态,并与负责任的个人建立肌肉记忆,以实现更快的事件响应。
## 阶段 A:检测
AMS 通过检测源(包括 GuardDuty AMS 监控)来监控账户中的根用户活动。
如果您有 AMS Accelerate,则操作模型会对请求对意外根用户活动进行调查的事件做出响应。发生这种情况时,AMS 运营部门会启动被盗账户操作手册。
如果您有 AMS Advanced,则运营模式会对事件做出响应,或者将 root 用户的任何计划活动通知给 CSDM,以终止正在进行的账户泄露调查。
## B 阶段:分析
当确定根用户事件未获得授权时,AMS 会对该活动进行彻底调查。使用自动化和 AMS 安全响应团队,对日志和事件进行分析,以确定根用户的异常和意外行为。向您提供日志是为了帮助您确定活动是否未知、是否是授权的 root 用户事件,或者是否需要进一步调查。
调查期间为支持内部检查而提供的信息的一些示例包括:
+ 账户信息:root 账户用于哪个账户?
+ root 用户的电子邮件地址:每个 root 用户都与贵组织中的一个电子邮件地址相关联
+ 身份验证详情:root 用户从何时何地访问您的环境?
+ 活动记录:用户以 root 身份登录后做了什么? 这些记录以 CloudWatch 事件的形式出现。了解如何阅读这些日志有助于调查。
最佳做法是准备好接收分析信息,并计划如何联系组织内客户的授权联系人。由于 root 用户不是以个人身份命名的,因此确定谁有权访问组织内用于该帐户的根电子邮件地址有助于在内部快速传递问题。
## C阶段:遏制和消灭
AMS 与您的安全团队合作,在您授权的客户安全联系人的指导下进行遏制。密封选项包括:
+ 轮换适当的凭证和密钥。
+ 终止与账户和资源的活动会话。
+ 清除已创建的资源。
在控制活动期间,AMS 会与您的安全团队密切合作,确保最大限度地减少对您的工作负载的任何干扰,并适当保护根凭证。
控制计划完成后,您可以根据需要与 AMS 运营团队合作采取任何恢复行动。
## 事故后报告
根据要求,AMS启动调查审查流程,以确定任何经验教训。作为完成 COE 的一部分,AMS 会将所有相关发现传达给受影响的客户,以帮助他们改善事件响应流程。
AMS 记录调查的所有最终细节,收集适当的指标,然后将事件报告给任何需要信息的 AMS 内部团队,包括您分配的 CSDM 和 CA。