Forensische Workstations starten

Einige Ihrer Aktivitäten zur Reaktion auf Vorfälle umfassen die Analyse von Datenträgerabbildern, Dateisystemen, RAM-Abbildern oder anderen Artefakten, die an einem Vorfall beteiligt sind. Viele Kunden entwickeln eine maßgeschneiderte forensische Workstation, mit der sie Kopien aller betroffenen Datenvolumes bereitstellen können (bekannt als EBS-Snapshots). Befolgen Sie dazu die folgenden grundlegenden Schritte:

Wählen Sie ein Amazon Machine Image (AMI) (wie Linux oder Microsoft Windows), das als forensische Workstation verwendet werden kann.
Starten Sie eine Amazon-EC2-Instance über diese Basis-AMI.
Stärken Sie das Betriebssystem, entfernen Sie unnötige Softwarepakete und konfigurieren Sie relevante Überwachungs- und Protokollierungsmechanismen.
Installieren Sie Ihre bevorzugte Suite von Open Source- oder privaten Toolkits sowie jegliche Software und Pakete anderer Anbieter, die Sie benötigen.
Halten Sie die Amazon-EC2-Instance an und erstellen Sie ein neues AMI aus der angehaltenen Instance.
Führen Sie einen wöchentlichen oder monatlichen Prozess ein, um die AMI mit den neuesten Software-Patches zu aktualisieren und zu erneuern.

Nachdem das forensische System mit einem AMI bereitgestellt wurde, kann Ihr Notfallteam diese Vorlage zur Erstellung einer neuen AMI verwenden, um für jede Untersuchung eine neue forensische Workstation einzuführen. Der Prozess zur Einführung der AMI als Amazon-EC2-Instance kann vorkonfiguriert werden, um den Bereitstellungsprozess zu vereinfachen. Sie können beispielsweise eine Vorlage für die benötigten Ressourcen der forensischen Infrastruktur in einer Textdatei erstellen und sie mithilfe von AWS CloudFormation in Ihrem AWS-Konto bereitstellen.

Wenn Ihre Ressourcen mit einer Vorlage schnell bereitgestellt werden können, können Ihre erfahrenen forensischen Experten für jede Untersuchung neue forensische Workstations nutzen, anstatt die Infrastruktur wiederzuverwenden. Durch dieses Verfahren können Sie Kreuzkontamination durch andere forensische Untersuchungen ausschließen.

Instance-Typen und Standorte

Amazon EC2 bietet eine große Auswahl von Instance-Typen, die für unterschiedliche Anwendungsfälle optimiert sind. Instance-Typen unterstützen verschiedene Kombinationen von CPU, Arbeitsspeicher, Speicher und Netzwerkkapazität. So können Sie flexibel die ideale Ressourcenzusammenstellung für Ihre Anwendungen auswählen. Viele Instance-Typen bieten mehrere Instance-Größen, sodass Sie Ihre Ressourcen den Anforderungen Ihrer Ziel-Workload entsprechend skalieren können. Befolgen Sie bezüglich Vorfallreaktions-Instances die GRC-Richtlinien Ihres Unternehmens für den Standort und die Segmentierung aus dem Netzwerk, das Produktions-Instances ausführt.

AWS Enhanced Networking verwendet Single Root I/O Virtualization (SR-IOV), um Hochleistungsnetzwerk-Funktionen in unterstützten Instance-Typen bereitzustellen. SR-IOV ist eine Methode zur Gerätevirtualisierung, die im Vergleich zu herkömmlichen virtualisierten Netzwerkschnittstellen eine höhere E/A-Leistung bei niedrigerer CPU-Auslastung bietet. Die optimierte Netzwerkleistung ermöglicht eine größere Bandbreite, mehr Pakete pro Sekunde (PPS) und konstant niedrigere Latenzzeiten zwischen Instances. Für die Nutzung von Enhanced Networking fallen keine zusätzlichen Gebühren an. Informationen über die Instance-Typen, die Netzwerkgeschwindigkeiten von 10 oder 25 Gbit/s unterstützen, und andere erweiterte Funktionen finden Sie unter Amazon-EC2-Instance-Typen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ressourcen isolieren

Unterstützung des Cloud-Anbieters