Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Développer les capacités de criminalistique
<a name="develop-forensics-capabilities"></a>

 Pour anticiper un incident de sécurité, envisagez de développer des fonctionnalités d’analyse poussée pour faciliter les enquêtes sur les événements de sécurité. Le [guide du NIST sur l'intégration des techniques de criminalistique dans la réponse aux incidents](https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf) fournit de tels conseils. 

# Forensics sur AWS
<a name="forensics"></a>

 Les concepts issus de la criminalistique traditionnelle sur site s'appliquent à. AWS Les [stratégies relatives à l'environnement d'investigation médico-légale présentées dans le](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/) billet de AWS Cloud blog vous fournissent des informations clés vers lesquelles commencer à migrer leur expertise médico-légale. AWS

 Une fois que vous aurez configuré votre environnement et votre structure de AWS compte pour la criminalistique, vous devrez définir les technologies nécessaires pour appliquer efficacement des méthodologies fiables sur le plan médico-légal au cours des quatre phases : 
+ **Collecte** : collectez les AWS journaux pertinents AWS CloudTrail AWS Config, tels que les journaux de flux VPC et les journaux au niveau de l'hôte. Collectez des instantanés, des sauvegardes et des vidages de mémoire des ressources concernées AWS . 
+ **Examen** — Examinez les données collectées en extrayant et en évaluant les informations pertinentes. 
+ **Analyse** — Analysez les données collectées afin de comprendre l'incident et d'en tirer des conclusions. 
+ **Rapports** — Présentez les informations issues de la phase d'analyse. 

# Conservez les sauvegardes et les instantanés
<a name="capture-backups-and-snapshots"></a>

 La configuration de sauvegardes des systèmes et des bases de données clés s’avère essentielle pour récupérer d’un incident de sécurité et à des fins d’analyse poussée. Une fois les sauvegardes en place, vous pouvez restaurer vos systèmes à leur état stable antérieur. AWS Activé, vous pouvez prendre des instantanés de différentes ressources. Les instantanés vous fournissent des point-in-time copies de sauvegarde de ces ressources. De nombreux services AWS peuvent vous aider en matière de sauvegarde et de restauration. Reportez-vous au [guide prescriptif de sauvegarde et de restauration](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html) pour plus de détails sur ces services et approches de sauvegarde et de restauration. Pour plus de détails, consultez le billet de blog [Utiliser les sauvegardes pour récupérer après un incident de sécurité](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/).

 Il est essentiel que vos sauvegardes soient bien protégées, en particulier dans le cas de rançongiciels. Reportez-vous aux [10 meilleures pratiques de sécurité pour sécuriser les sauvegardes dans](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/) le billet de AWS blog pour obtenir des conseils sur la sécurisation de vos sauvegardes. Outre la sécurisation de vos sauvegardes, vous devez régulièrement tester vos processus de sauvegarde et de restauration pour vérifier que la technologie et les processus que vous avez mis en place fonctionnent comme prévu. 

# Automatisation de la criminalistique sur AWS
<a name="automate-forensics"></a>

 Lors d'un événement de sécurité, votre équipe de réponse aux incidents doit être en mesure de recueillir et d'analyser les preuves rapidement tout en maintenant la précision pendant la période entourant l'événement. Il est à la fois difficile et chronophage pour l'équipe de réponse aux incidents de collecter manuellement les preuves pertinentes dans un environnement cloud, en particulier sur un grand nombre d'instances et de comptes. De plus, la collecte manuelle peut faire l’objet d’erreurs humaines. Pour ces raisons, les clients doivent développer et mettre en œuvre l'automatisation pour la criminalistique. 

 AWS propose un certain nombre de ressources d'automatisation pour la criminalistique, qui sont regroupées dans l'annexe ci-dessous. [Ressources médico-légales](appendix-b-incident-response-resources.md#forensic-resources) Ces ressources sont des exemples de modèles d’analyse poussée que nous avons développés et que les clients ont mis en œuvre. Bien qu’elles puissent constituer une architecture de référence utile au départ, envisagez de les modifier ou de créer de nouveaux modèles d’automatisation de l’analyse poussée en fonction de votre environnement, de vos exigences, de vos outils et de vos processus d’analyse poussée.