Verwenden des AWS Systems Manager - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

Verwenden des AWS Systems Manager

Der AWS Systems Manager Run Command unterstützt Sie bei der entfernten und sicheren Durchführung von On-Demand-Änderungen, indem Sie Linux-Shell-Skripts und Windows PowerShell-Befehle auf einer Ziel-Instance durchführen. Sie können „Run Command“ mit Berechtigungen im AWS IAM-Service aufrufen, allerdings müssen Sie zunächst Ihre Amazon-EC2-Instances als verwaltete Instances aktivieren, den SSM Agenten auf Ihren Maschinen installieren (falls nicht standardmäßig installiert) und die AWS IAM-Berechtigungen konfigurieren. Wenn Sie „Run Command“ für Automatisierungs- oder Vorfallreaktionszwecke verwenden möchten, müssen Sie vor einer Untersuchung zunächst die erforderlichen Aktivitäten durchführen.

AWS Systems Manager, der auch „Run Command“ beinhaltet, ist in AWS CloudTrail integriert. Dieser Service erfasst API-Aufrufe, die von oder im Auftrag eines Systems Managers getätigt wurden, und übermittelt die Protokolldateien an einen festgelegten Amazon S3-Bucket. Anhand der von AWS CloudTrail erfassten Informationen können Sie bestimmen, welche Art von Anforderung gestellt wurde, von welcher Quell-IP-Adresse und welchem Benutzer sie ausging, wann die Anforderung erstellt wurde usw. CloudTrail erstellt Protokolle aller API-Aktionen des Systems Managers, einschließlich API-Anforderungen zur Ausführung von Befehlen mit Run Command oder zur Erstellung von Systems Manager-Dokumenten.

Mit dem Run Command des AWS Systems Managers können Sie den SSM Agenten aufrufen, der Linux-Shell-Skripts und Windows PowerShell-Befehle ausführt. Diese Skripts können bestimmte Tools laden und ausführen, um zusätzliche Daten vom Host zu erfassen, z. B. das LimE-Kernelmodul (Linux Memory Extractor). Anschließend können Sie den erfassten Speicher an Ihre forensische Amazon-EC2-Instance im VPC-Netzwerk oder an einen Amazon S3-Bucket zur dauerhaften Archivierung übertragen.