本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
收集和分析鑑識證據
如本文件準備章節所述,鑑識是在事件回應期間收集和分析成品的程序。在 上 AWS,它適用於基礎設施網域資源,例如網路流量封包擷取、作業系統記憶體傾印,以及 AWS CloudTrail 日誌等服務網域資源。
鑑識程序具有下列基本特性:
-
一致 – 它遵循記錄的確切步驟,沒有偏差。
-
可重複 – 在針對相同成品重複時,會產生完全相同的結果。
-
慣例 – 它已公開記錄並廣泛採用。
對於事件回應期間收集的成品,維護監管鏈非常重要。除了將成品存放在唯讀儲存庫之外,使用自動化並產生此集合的自動文件也很有幫助。分析應僅對收集成品的確切複本執行,以維持完整性。
