本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對根使用者活動的回應
[根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)是您 AWS 帳戶中的超級使用者。請注意,AMS 會監控根用量。最佳實務是僅針對需要根使用者的少數任務使用根使用者,例如變更您的帳戶設定、啟用 AWS Identity and Access Management (IAM) 存取帳單和成本管理、變更根密碼,以及開啟多重要素驗證 (MFA)。如需詳細資訊,請參閱[需要根使用者憑證的任務](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root)。
如需如何通知 AMS 計劃根用量的詳細資訊,請參閱[何時以及如何在 AMS 中使用根帳戶](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html)。
偵測到根使用者活動時,嘗試登入失敗,這可能表示成功登入後帳戶中發生暴力攻擊或活動,會產生事件,並將事件傳送至您定義的安全聯絡人。
AWS Managed Services Operations 會調查意外的根使用者活動、執行資料收集、分類和分析,以及依照您的方向執行遏制活動,然後執行事件後分析。
如果您有 AMS Advanced 操作模型,您會收到來自 AMS CSDM 和 AMS Ops 工程師的額外通訊,確認意外的根使用者活動,因為 AMS 有責任保護根使用者憑證。AMS 會調查根使用者活動,直到您確認路徑向前為止。
## 準備
向 AMS 告知任何計劃使用的根使用者,方法是使用計劃事件的資料和時間提交 AMS 服務請求,以防止不必要的事件回應活動。
定期使用 AMS 執行 GameDays,以驗證 AMS 的客戶事件回應程序、人員和系統是最新的,並與負責的人員建立肌肉記憶體,以實現更快的事件回應。
## 階段 A:偵測
AMS 透過偵測來源監控帳戶中的根活動,包括 GuardDuty 和 AMS 監控。
如果您有 AMS Accelerate,操作模型會回應請求調查非預期根使用者活動的事件。發生這種情況時,AMS Operations 會啟動遭入侵的帳戶 Runbook。
如果您有 AMS Advanced,操作模型會回應事件,或通知 CSDM 任何計劃的根使用者活動,以終止作用中的帳戶入侵調查。
## 階段 B:分析
AMS 會在判斷活動未獲授權時,對根使用者事件進行徹底調查。使用自動化和 AMS 安全回應團隊,會針對根使用者的異常和非預期行為來分析日誌和事件。日誌會提供給您,以協助判斷活動是否未知、是否為授權的根使用者事件,或是否需要進一步調查。
調查期間為支援內部檢查而提供的資訊範例包括:
+ 帳戶資訊:根帳戶用於哪個帳戶?
+ 根使用者的電子郵件地址:每個根使用者都與您組織的電子郵件地址相關聯
+ 身分驗證詳細資訊:根使用者從何處和何時存取您的環境?
+ 活動記錄:使用者以根登入時做了什麼? 這些記錄的格式為 CloudWatch 事件。了解如何閱讀這些日誌有助於調查。
最佳實務是,您已準備好接收分析資訊,並規劃如何聯絡組織內帳戶的授權聯絡人。由於根使用者不會命名為個人,因此判斷誰可以存取組織中用於帳戶的根電子郵件地址,有助於快速在內部路由問題。
## 階段 C:包含和消除
AMS 與您的安全團隊合作,在您授權的客戶安全聯絡人指示下執行遏制。遏制選項包括:
+ 輪換適當的登入資料和金鑰。
+ 終止對帳戶和資源的作用中工作階段。
+ 消除已建立的資源。
在遏制活動期間,AMS 與您的安全團隊緊密合作,以確保工作負載的任何中斷都最小化,並且根登入資料得到適當的保護。
遏制計畫完成後,您可以視需要與 AMS Operations 團隊合作執行任何復原動作。
## 事件後報告
AMS 會視需要啟動調查審查程序,以識別學到的任何教訓。在完成 COE 的過程中,AMS 會將任何相關調查結果傳達給受影響的客戶,以協助他們改善事件回應程序。
AMS 會記錄調查的所有最終詳細資訊、收集適當的指標,然後將事件報告給需要資訊的任何 AMS 內部團隊,包括您指派的 CSDM 和 CA。