Uso de AWS Systems Manager

AWS Systems Manager Run Command ayuda a realizar de forma remota y segura los cambios bajo demanda mediante la ejecución de scripts de shell de Linux y comandos de Windows PowerShell en una instancia de destino. Si bien puede invocar Run Command a través de los permisos del servicio AWS IAM, primero debe activar las instancias de Amazon EC2 como instancias administradas, instalar SSM Agent en sus máquinas (si no está instalado de forma predeterminada) y configurar los permisos de AWS IAM. Si quiere usar Run Command para actividades de automatización o respuesta, asegúrese de completar las actividades previas requeridas antes de tener que realizar una investigación.

AWS Systems Manager, que incluye Run Command, se integra con AWS CloudTrail, un servicio que captura las llamadas a la API realizadas por o en nombre de una instancia de Systems Manager y entrega los archivos de registro en un bucket de Amazon S3 especificado. Gracias a la información recopilada por AWS CloudTrail, puede determinar qué solicitud se realizó, la dirección IP de origen que realizó la solicitud, quién hizo la solicitud y cuándo, entre otros datos. CloudTrail crea registros de todas las acciones de la API de Systems Manager, incluidas las solicitudes de API para ejecutar comandos con Run Command o para crear documentos de Systems Manager.

Puede usar el servicio AWS Systems Manager Run Command para invocar la instancia de SSM Agent que ejecuta scripts de shell de Linux y comandos de Windows PowerShell. Estos scripts pueden cargar y ejecutar herramientas específicas para capturar datos adicionales del host, como el módulo de kernel Linux Memory Extractor (LiME). A continuación, puede transferir la captura de memoria a la instancia forense de Amazon EC2 en la red VPC o a un bucket de Amazon S3 para su almacenamiento de larga duración.