Automatización de la captura - Guía de respuestas ante incidentes de seguridad de AWS

Automatización de la captura

Un método para invocar SSM Agent consiste en dirigir Run Command a través de Amazon CloudWatch Events cuando la instancia se haya etiquetado de forma específica. Por ejemplo, si aplica la etiqueta Response=Isolate+MemoryCapture a una instancia afectada, puede configurar Amazon CloudWatch Events para desencadenar dos acciones:

  • Una función Lambda que realiza las actividades de aislamiento

  • Una instancia de Run Command que ejecuta un comando de shell para exportar la memoria de Linux a través de SSM Agent

Esta respuesta basada en etiquetas es otro método de respuesta basada en eventos.