zh.Responding_to_SES_Events.md

事件响应行动手册：应对简单的电子邮件服务事件

联系点

作者：作者姓名 批准者：批准者姓名 最后批准日期：

目标

在整个行动手册的执行过程中，重点关注 *** 预期结果 ***，记下增强事件响应能力的注意事件。

确定：

• ** 漏洞被利用 **
• ** 观察到的漏洞和工具 **
• ** 演员的意图 **
• ** 演员的归因 **
• ** 对环境和业务造成的损害 **

恢复：

• ** 返回原始和强化配置 **

增强 CAF 安全视角组件：

[AWS 云采用框架安全角度] (https://d0.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf)

• ** 指令 **
• ** 侦探 **
• ** 响应 **
• ** 预防性 **

响应步骤

1. [** 准备 **] 对 IAM 使用 AWS GuardDuty 检测
2. [** 准备 **] 识别、记录和测试上报程序
3. [** 检测和分析 **] 执行检测和分析 CloudTrail 以查找无法识别的 API 事件
4. [** 检测和分析 **] 执行检测和分析 CloudWatch 是否有无法识别的事件
5. [** 遏制和消除 **] 删除或轮换 IAM 用户密钥
6. [** 遏制和消除 **] 删除或轮换无法识别的资源
7. [** RECOVERY**] 酌情执行恢复程序

*** 响应步骤遵循 [NIST 特别出版物 800-61r2 计算机安全事件处理指南] 中的事件响应生命周期（https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf）

事件分类和处理

• ** 策略、技巧和程序 **：
• ** 类别 **:
• ** 资源 **：SES
• ** 指标 **:
• ** 日志来源 **：
• ** 团队 **：安全运营中心 (SOC)、法医调查员、云工程

事件处理流程

事件响应流程有以下几个阶段：

• 准备
• 检测和分析
• 遏制和根除
• 恢复
• 事件后活动

执行摘要

本行动手册概述了应对针对 AWS 简单电子邮件服务 (SES) 的攻击的流程。 结合本指南，请查看 [Amazon SES 发送审核流程常见问题解答] (https://docs.aws.amazon.com/ses/latest/DeveloperGuide/faqs-enforcement.html)，了解执法行动的答案和对不良 SES 使用的回应。

有关更多信息，请查看 [AWS 安全事件响应指南] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)

准备-一般

• 评估你的安全态势以识别和补救安全漏洞
• AWS 开发了一种新的开源 [自助安全评估] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/) 工具，该工具为客户提供了时间点评估，以获得对其 AWS 安全状况的宝贵见解账户。
• 维护所有资源的完整资产清单，包括服务器、网络设备、网络/文件共享和开发人员机器
• 考虑实施 [AWS GuardDuty] (https://aws.amazon.com/guardduty/) 以持续监控恶意活动和未经授权的行为，以保护存储在 Amazon SES 中的 AWS 账户、工作负载和数据
• 实施 [CIS AWS 基金会] (https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html)，包括账户到期和强制性证书轮换
• ** 强制执行多因素身份验证 (MFA) **
• 强制执行密码复杂性要求并确定到期期
• 运行 [IAM 凭证报告] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 以列出账户中的所有用户及其各种证书的状态，包括密码、访问密钥和 MFA 设备
• 使用 [AWS IAM 访问分析器] (https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 识别组织和账户中的资源，例如与外部实体共享的 IAM 角色。 这使您可以识别对资源和数据的意外访问权限，这是一种安全风险

准备-SES 特定

• 使用发送授权策略控制谁可以发送电子邮件以及从哪里发送
• https://docs.aws.amazon.com/ses/latest/dg/sending-authorization.html
• 使用配置集来控制允许发送消息的 IP 地址和身份
• https://docs.aws.amazon.com/ses/latest/dg/using-configuration-sets.html
• 考虑为 Amazon SES 使用专用 IP 地址
• https://docs.aws.amazon.com/ses/latest/dg/dedicated-ip.html
• 在 Amazon SES 中管理您自己的邮件和订阅列表以及电子邮件禁止
• https://docs.aws.amazon.com/ses/latest/dg/lists-and-subscriptions.html
• 为实时通知设置 Amazon SES 事件发布
• https://docs.aws.amazon.com/ses/latest/dg/monitor-sending-using-event-publishing-setup.html
• 在 Amazon SES 中使用最低权限的身份和访问管理
• https://docs.aws.amazon.com/ses/latest/dg/control-user-access.html
• 查看 SES 最佳实践，重点关注安全性和访问权限
• https://docs.aws.amazon.com/ses/latest/DeveloperGuide/best-practices.html（经典）
• https://docs.aws.amazon.com/ses/latest/DeveloperGuide/control-user-access.html（经典）
• 为自己的域设置 SPF、DKIM 和 DMARC，以帮助防止网络钓鱼和欺骗
• https://docs.aws.amazon.com/ses/latest/dg/email-authentication-methods.html

潜在的 AWS GuardDuty 检测

以下调查结果特定于 IAM 实体和访问密钥，并且始终具有 AccessKey 的资源类型。 调查结果的严重性和详细信息因查找结果类型而异。 有关每种查找类型的更多信息，请参阅 [GuardDuty IAM 查找类型] (https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html) 网页。

• 凭据访问权限：iAMERS/ 异常行为
• Defenseevasion: iAMERS/ 异常行为
• 发现：iAMERS/ 异常行为
• 渗透：iAMERS/ 异常行为
• 影响：iAMERS/ 异常行为
• 初始访问：iAMERS/ 异常行为
• 五旬节：iAMER/Kalilinux
• 五旬节：iAMER/ParrotLinux
• 五旬节：iAMER/pentoolLinux
• 持久性：iAMERS/ 异常行为
• 政策：iAMER/root 凭据使用
• 特权升级：iAMERS/ 异常行为
• RECOS: iAMERS/ 恶意拨打呼叫者
• RECOS: iAMER/恶意ipCaller.自定义
• RECOS: iAMERS/ ToripPaller
• 隐身：iAMER/CloudTrail 日志记录已禁用
• 隐身：iAMER/密码政策更改
• 未经授权的访问：iAMERS/ 控制台登录成功。B
• 未经授权的访问权限：iAMER/实例证书Explover.外部AWS
• 未经授权访问：iAMERS/ 恶意拨打呼叫者
• 未经授权的访问：iAMER/ 恶意 IP 呼叫者。自定义
• 未经授权的访问：iAMER/ToripPaller

上报程序

-“我需要就什么时候进行 EC2 取证作出业务决定 -“谁在监控日志/警报，接收日志/警报并对其采取行动？ -“发现警报后谁会收到通知？ -“什么时候公共关系和法律参与这一过程？ -“你什么时候联系 AWS Support 寻求帮助？ `

检测和分析

CloudTrail

Amazon SES 与 AWS CloudTrail 集成，该服务提供了 Amazon SES 中的用户、角色或 AWS 服务所采取的操作的记录。 CloudTrail 将 Amazon SES 的 API 调用作为事件捕获。 捕获的调用包括来自 Amazon SES 控制台的调用以及对 Amazon SES API 操作的代码调用。

以下是特定的 CloudTrail eventName 事件，用于查找与 SES 相关的账户变更：

• 删除身份
• 删除身份策略
• 删除收据过滤器
• 删除收据规则
• 删除收据规则集
• 删除已验证的电子邮件地址
• 获取 SendPquota
• Put身份政策
• 更新收据规则
• 验证 ydomaindKim
• 验证域身份
• 验证电子邮件地址
• 验证电子邮件身份

[使用 CloudTrail 事件历史记录查看活动] (https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)

其他侦探控件

• 记录和监控 SES 事件（例如发送、退回、投诉等）
• https://docs.aws.amazon.com/ses/latest/dg/monitor-sending-activity.html
• https://aws.amazon.com/blogs/messaging-and-targeting/handling-bounces-and-complaints/
• 监控发件人信誉指标
• https://docs.aws.amazon.com/ses/latest/dg/monitor-sender-reputation.html
• 为 SES 指标设置适当的 Cloudwatch 警报或仪表板
• https://docs.aws.amazon.com/ses/latest/dg/security-monitoring-overview.html

遏制和根除

• [删除或轮换 IAM 用户密钥] (https://console.aws.amazon.com/iam/home#users) 和 [root 用户密钥] (https://console.aws.amazon.com/iam/home#security_credential)；如果您无法识别已公开的特定密钥或密钥，则可能希望轮换账户中的所有密钥
• [删除未经授权的 IAM 用户] (https://console.aws.amazon.com/iam/home#users。)
• [删除未经授权的政策] (https://console.aws.amazon.com/iam/home#/policies)
• [删除未经授权的角色] (https://console.aws.amazon.com/iam/home#/roles)
• [吊销临时证书] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time)。 也可以通过删除 IAM 用户来吊销临时证书。
• 注意：删除 IAM 用户可能会影响生产工作负载，应谨慎完成

恢复

• 使用最低权限访问策略创建新的 IAM 用户
• 实施 “准备-SES 特定” 部分中的步骤和资源
• 记录和监控 SES 事件（例如发送、退回、投诉等）
• https://docs.aws.amazon.com/ses/latest/dg/monitor-sending-activity.html
• https://aws.amazon.com/blogs/messaging-and-targeting/handling-bounces-and-complaints/
• 监控发件人信誉指标
• https://docs.aws.amazon.com/ses/latest/dg/monitor-sender-reputation.html
• 为 SES 指标设置适当的 Cloudwatch 警报或仪表板
• https://docs.aws.amazon.com/ses/latest/dg/security-monitoring-overview.html

吸取的教训

“这里是一个添加特定于贵公司的物品的地方，这些物品不一定需要 “修复”，但在与运营和业务要求同时执行本行动手册时也很重要。 `

已解决积压项目

当前积压项目