フォレンジックワークステーションの起動

インシデント対応業務には、インシデントに関連するディスクイメージ、ファイルシステム、RAM ダンプ、その他のアーティファクトの分析が含まれる場合があります。多くのお客様は、影響を受けたデータボリュームのコピー (EBS スナップショットと呼ばれる) をマウントするために使用できるフォレンジックワークステーションを構築してカスタマイズしています。これを行うには、以下の基本的な手順に従います。

フォレンジックワークステーションとして使用できる基本の Amazon マシンイメージ (AMI) (Linux や Microsoft Windows など) を選択します。
その基本 AMI から Amazon EC2 インスタンスを起動します。
オペレーティングシステムを強化し、不要なソフトウェアパッケージを削除して、関連する監査およびログ記録メカニズムを設定します。
希望するオープンソースのスイートやプライベートのツールキットと、必要なベンダーソフトウェアおよびパッケージをインストールします。
Amazon EC2 インスタンスを停止し、停止したインスタンスから新しい AMI を作成します。
最新のソフトウェアパッチで AMI を更新および再構築するための週単位または月単位のプロセスを作成します。

AMI を使用してフォレンジックシステムをプロビジョニングすると、インシデント対応チームは、このテンプレートを使用して新しい AMI を作成し、調査ごとに新しいフォレンジックワークステーションを起動できます。AMI を Amazon EC2 インスタンスとして起動するプロセスは、事前に設定してデプロイプロセスを簡略化できます。例えば、必要なフォレンジックインフラストラクチャリソースのテンプレートをテキストファイルとして作成し、これを AWS CloudFormation で AWS アカウント内にデプロイできます。

テンプレートからリソースを迅速にデプロイできるようにすると、十分なトレーニングを受けたフォレンジックエキスパートは、インフラストラクチャを再利用せずに、新しいフォレンジックワークステーションを調査ごとに使用できるようになります。このプロセスにより、他のフォレンジック検査との相互汚染がないことを確認できます。

インスタンスタイプおよびロケーション

Amazon EC2 は、さまざまなユースケース向けに最適化したインスタンスタイプを幅広く取り揃えています。インスタンスタイプは、CPU、メモリ、ストレージ、ネットワーク容量のさまざまな組み合わせで構成されているため、アプリケーションのために適切な組み合わせのリソースを柔軟に選択できます。多くのインスタンスタイプには複数のインスタンスサイズが含まれているため、ターゲットワークロードの要件に合わせてリソースをスケールできます。インシデント対応インスタンスの場合は、本番インスタンスを実行するネットワークからの場所とセグメンテーションに関する自社の GRC ポリシーに従います。

AWS の拡張ネットワークは、シングルルート I/O 仮想化 (SR-IOV) を使用して、サポートされているインスタンスタイプで高性能ネットワーク機能を提供します。SR-IOV は、従来の仮想化ネットワークインターフェイスと比較し、I/O パフォーマンスが高く、CPU 利用率が低いデバイス仮想化の手法です。拡張ネットワークは、高い帯域幅、1 秒あたりのパケット (PPS) の高いパフォーマンス、常に低いインスタンス間レイテンシーを実現します。拡張ネットワークは追加料金なしで使用できます。10 Gbps または 25 Gbps のネットワーク速度をサポートするインスタンスタイプや、その他の高度な機能については、「Amazon EC2 インスタンスタイプ」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

リソースの分離

クラウドプロバイダーのサポート