Recolección de artefactos pertinentes - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Recolección de artefactos pertinentes

Teniendo en cuenta estas características, y en función de las alertas pertinentes y de la evaluación del impacto y el alcance, tendrá que recopilar los datos que sean pertinentes para continuar la investigación y el análisis. Existen diversos tipos y orígenes de datos que pueden ser pertinentes para la investigación, como los registros del plano de control o de servicio (CloudTrail, eventos de datos de Amazon S3, registros de flujo de VPC), datos (metadatos y objetos de Amazon S3) y recursos (bases de datos o instancias de Amazon EC2).

Los registros del plano de control o de servicio se pueden recopilar para analizarlos localmente o, idealmente, se pueden consultar directamente mediante servicios nativos de AWS (cuando proceda). Los datos (incluidos los metadatos) se pueden consultar directamente para obtener información pertinente o para adquirir los objetos de origen; por ejemplo, utilice la AWS CLI para adquirir metadatos de objetos y buckets de Amazon S3 y adquirir directamente los objetos de origen. Los recursos deben recopilarse de manera coherente con el tipo de recurso y el método de análisis previsto. Por ejemplo, las bases de datos se pueden recopilar creando una copia o instantánea del sistema que ejecuta la base de datos, creando una copia o instantánea de toda la base de datos en sí o consultando y extrayendo ciertos datos y registros de la base de datos pertinentes para la investigación.

En el caso de las instancias de Amazon EC2, hay un conjunto específico de datos que se deben recopilar y un orden específico de recopilación que se debe seguir para adquirir y conservar la mayor cantidad de datos para su análisis e investigación.

En concreto, el orden de respuesta para adquirir y conservar la mayor cantidad de datos de una instancia de Amazon EC2 es el siguiente:

  1. Adquirir metadatos de la instancia: adquiera los metadatos de la instancia pertinente para la investigación y las consultas de datos (ID de instancia, tipo, dirección IP, ID de VPC/subred, región, ID de imagen de máquina de Amazon (AMI), grupos de seguridad adjuntos, hora de lanzamiento).

  2. Habilitar las protecciones y etiquetas de las instancias: habilite las protecciones de las instancias, como la protección contra terminación, configure el comportamiento de apagado para que se detenga (si está configurado para terminarse), deshabilite los atributos “Delete on Termination” de los volúmenes de EBS adjuntos y aplique las etiquetas adecuadas tanto para la denotación visual como para su uso en posibles automatizaciones de respuesta (por ejemplo, al aplicar una etiqueta con el nombre Status y el valor Quarantine, realizar una adquisición forense de datos y aislar la instancia).

  3. Adquirir el disco (instantáneas de EBS): adquiera una instantánea de EBS de los volúmenes de EBS adjuntos. Cada instantánea contiene información necesaria para restaurar los datos (del momento en que se tomó) en un volumen de EBS nuevo. Consulte el paso para realizar una recopilación de artefactos o respuestas en vivo si utiliza volúmenes de almacén de instancias.

  4. Adquirir memoria: dado que las instantáneas de EBS solo capturan los datos que se han escrito en su volumen de Amazon EBS, lo que podría excluir los datos que las aplicaciones o el sistema operativo almacenan o guardan en caché en la memoria, es imprescindible adquirir una imagen de memoria del sistema mediante una herramienta comercial o de código abierto de terceros adecuada para obtener los datos disponibles del sistema.

  5. (Opcional) Realizar una recopilación de artefactos o una respuesta en vivo: realice una recopilación de datos específica (disco/memoria/registros) mediante una respuesta en vivo en el sistema únicamente si no se puede adquirir el disco o la memoria de otra manera, o si existe un motivo empresarial u operativo válido. Con ello, se modificarán datos y artefactos valiosos del sistema.

  6. Retirar la instancia: separe la instancia de los grupos de escalado automático, anule el registro de la instancia de los equilibradores de carga y ajuste o aplique un perfil de instancia prediseñado con permisos minimizados o sin permisos.

  7. Aísle o contenga la instancia: compruebe que la instancia esté aislada de manera efectiva de otros sistemas y recursos del entorno. Para ello, finalice e impida las conexiones actuales y futuras de entrada y salida de la instancia. Para obtener más información, consulte la sección Contención de este documento.

  8. Decisión del responsable: en función de la situación y los objetivos, seleccione una de las siguientes opciones:

    • Retirar y apagar el sistema (recomendado).

      Cerrar el sistema una vez que se hayan adquirido las pruebas disponibles para verificar la mitigación más efectiva contra un posible impacto futuro en el entorno por parte de la instancia.

    • Continúe ejecutando la instancia en un entorno aislado instrumentado para el monitoreo.

      Aunque no se recomienda como enfoque estándar, si una situación justifica una observación continua de la instancia (por ejemplo, cuando se necesitan datos o más indicadores para realizar una investigación y un análisis exhaustivos de la instancia), podría considerar cerrar la instancia, crear una AMI de la instancia y volver a lanzar la instancia en su cuenta de análisis forenses dedicada dentro de un entorno de pruebas que esté preconfigurado para estar completamente aislado y configurado con instrumentación que facilite la supervisión casi continua de la instancia (por ejemplo, registros de flujo de VPC o duplicación de tráfico de VPC).

nota

Es esencial capturar la memoria antes de las actividades de respuesta en vivo o del aislamiento o apagado del sistema para capturar los datos volátiles (y valiosos) disponibles.