Raccogli gli artefatti pertinenti - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Raccogli gli artefatti pertinenti

Tenendo presenti queste caratteristiche e sulla base degli avvisi pertinenti e della valutazione dell'impatto e della portata, sarà necessario raccogliere i dati che saranno pertinenti per ulteriori indagini e analisi. Vari tipi e fonti di dati che potrebbero essere rilevanti per l'indagine, tra cui log service/control piani (eventi CloudTrail di dati Amazon S3, log di flusso VPC), dati (metadati e oggetti Amazon S3) e risorse (database, istanze Amazon). EC2

Service/control I log dei piani possono essere raccolti per l'analisi locale o, idealmente, interrogati direttamente utilizzando servizi nativi (ove applicabile). AWS I dati (inclusi i metadati) possono essere interrogati direttamente per ottenere informazioni pertinenti o per acquisire gli oggetti di origine; ad esempio, puoi utilizzare il bucket Amazon S3 e i AWS CLI metadati degli oggetti e acquisire direttamente gli oggetti di origine. Le risorse devono essere raccolte in modo coerente con il tipo di risorsa e il metodo di analisi previsto. Ad esempio, i database possono essere raccolti creando un copy/snapshot sistema che esegue il database, creando uno copy/snapshot dell'intero database stesso o interrogando ed estraendo determinati dati e registri dal database pertinenti all'indagine.

Per EC2 le istanze di Amazon, è necessario raccogliere un set specifico di dati e eseguire un ordine di raccolta specifico per acquisire e conservare la maggior quantità di dati per analisi e indagini.

In particolare, l'ordine di risposta per acquisire e conservare la maggior quantità di dati da un' EC2 istanza Amazon è il seguente:

  1. Acquisizione di metadati dell'istanza: acquisisci i metadati dell'istanza pertinenti all'indagine e alle richieste di dati (ID istanza, tipo, indirizzo IP, VPC/subnet ID, regione, ID Amazon Machine Image (AMI), gruppi di sicurezza collegati, ora di avvio).

  2. Abilita le protezioni e i tag delle istanze: abilita le protezioni delle istanze come la protezione dalla terminazione, imposta il comportamento di arresto (se impostato su termina), disabilita gli attributi Delete on Termination per i volumi EBS collegati e applica i tag appropriati sia per la denotazione visiva che per l'uso in possibili automazioni di risposta (ad esempio, dopo aver applicato un tag con nome Status e valore diQuarantine, esegui l'acquisizione forense dei dati e isola l'istanza).

  3. Acquisisci disco (istantanee EBS): acquisisci un'istantanea EBS dei volumi EBS collegati. Ogni istantanea contiene le informazioni necessarie per ripristinare i dati (dal momento in cui è stata scattata l'istantanea) su un nuovo volume EBS. Consulta la procedura per eseguire la response/artifact raccolta in tempo reale se utilizzi volumi di Instance Store.

  4. Acquisizione di memoria: poiché gli snapshot EBS acquisiscono solo dati che sono stati scritti sul volume Amazon EBS, il che potrebbe escludere i dati archiviati o memorizzati nella cache dalle applicazioni o dal sistema operativo, è imperativo acquisire un'immagine di memoria di sistema utilizzando uno strumento open source o commerciale di terze parti appropriato per acquisire i dati disponibili dal sistema.

  5. (Facoltativo) Esegui la risposta in tempo reale/la raccolta di artefatti: esegui la raccolta mirata dei dati (disk/memory/logs) tramite risposta in tempo reale sul sistema solo se il disco o la memoria non possono essere acquisiti in altro modo o se esiste un motivo aziendale o operativo valido. In questo modo si modificheranno dati e artefatti importanti del sistema.

  6. Disattivazione dell'istanza: scollega l'istanza dai gruppi di Auto Scaling, annulla la registrazione dell'istanza dai sistemi di bilanciamento del carico e modifica o applica un profilo di istanza predefinito con autorizzazioni ridotte al minimo o assenti.

  7. Isola o contiene l'istanza: verifica che l'istanza sia effettivamente isolata da altri sistemi e risorse all'interno dell'ambiente terminando e impedendo le connessioni attuali e future da e verso l'istanza. Per ulteriori dettagli, consulta la Contenimento sezione di questo documento.

  8. Scelta del risponditore: in base alla situazione e agli obiettivi, seleziona una delle seguenti opzioni:

    • Disattivate e spegnete il sistema (scelta consigliata).

      Spegnere il sistema una volta acquisite le prove disponibili per verificare la mitigazione più efficace rispetto a possibili impatti futuri sull'ambiente da parte dell'istanza.

    • Continua a eseguire l'istanza all'interno di un ambiente isolato dotato di strumentazione per il monitoraggio.

      Sebbene non sia consigliato come approccio standard, se una situazione richiede un'osservazione continua dell'istanza (ad esempio quando sono necessari dati o indicatori aggiuntivi per eseguire un'indagine e un'analisi complete dell'istanza), potresti prendere in considerazione la chiusura dell'istanza, la creazione di un'AMI dell'istanza e il riavvio dell'istanza nel tuo account forense dedicato all'interno di un ambiente sandbox preattrezzato per essere completamente isolato e configurato con strumentazione per facilitare la quasi continuità monitoraggio dell'istanza (per ad esempio, VPC Flow Logs o VPC Traffic Mirroring).

Nota

È essenziale acquisire la memoria prima delle attività di risposta in tempo reale o dell'isolamento o dello spegnimento del sistema per acquisire i dati volatili (e preziosi) disponibili.