收集和分析取证证据 - AWS 安全事件响应 用户指南

收集和分析取证证据

如本文档准备一节所述,取证是在事件响应期间收集和分析构件的过程。在 AWS 上,它不仅适用于基础架构域资源,例如网络流量数据包捕获、操作系统内存转储,也适用于服务域资源,例如 AWS CloudTrail 日志。

取证过程具有以下基本特征:

  • 一致性:严格遵循所记录的确切步骤,没有偏差。

  • 可重复性:对同一个构件重复执行操作时,会产生完全相同的结果。

  • 惯用性:会公开记录并被广泛采用。

维护事件响应期间所收集构件的监管链至关重要。除了将构件存储在只读存储库外,使用自动化并生成此收集过程的自动文档也会有所帮助。应仅对所收集构件的精确副本进行分析,以保持完整性。