Raccogli artefatti pertinenti - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Raccogli artefatti pertinenti

Tenendo presenti queste caratteristiche e sulla base degli avvisi pertinenti e della valutazione dell'impatto e della portata, sarà necessario raccogliere i dati che saranno pertinenti per ulteriori indagini e analisi. Vari tipi e fonti di dati che potrebbero essere rilevanti per l'indagine, inclusi log del piano di servizio/controllo (eventi relativi ai dati di Amazon CloudTrail S3, log di flusso VPC), dati (metadati e oggetti Amazon S3) e risorse (database, istanze Amazon). EC2

I log del piano di servizio/controllo possono essere raccolti per l'analisi locale o, idealmente, interrogati direttamente utilizzando servizi nativi (ove applicabile). AWS I dati (inclusi i metadati) possono essere interrogati direttamente per ottenere informazioni pertinenti o per acquisire gli oggetti di origine; ad esempio, puoi utilizzare il bucket Amazon S3 e i AWS CLI metadati degli oggetti e acquisire direttamente gli oggetti di origine. Le risorse devono essere raccolte in modo coerente con il tipo di risorsa e il metodo di analisi previsto. Ad esempio, i database possono essere raccolti creando una parte copy/snapshot of the system running the database, creating a copy/snapshot dell'intero database stesso oppure interrogando ed estraendo determinati dati e registri dal database pertinenti all'indagine.

Per EC2 le istanze di Amazon, è necessario raccogliere un set specifico di dati e eseguire un ordine di raccolta specifico per acquisire e conservare la maggior quantità di dati per analisi e indagini.

In particolare, l'ordine di risposta per acquisire e conservare la maggior quantità di dati da un' EC2 istanza Amazon è il seguente:

  1. Acquisisci metadati dell'istanza: acquisisci i metadati dell'istanza pertinenti all'indagine e alle query sui dati (ID istanza, tipo, indirizzo IP, ID VPC/Subnet, regione, ID Amazon Machine Image (AMI), gruppi di sicurezza collegati, ora di avvio).

  2. Abilita le protezioni e i tag delle istanze: abilita le protezioni delle istanze come la protezione dalla terminazione, imposta il comportamento di arresto (se impostato su termina), disabilita gli attributi Delete on Termination per i volumi EBS collegati e applica i tag appropriati sia per la denotazione visiva che per l'uso in possibili automazioni di risposta (ad esempio, dopo aver applicato un tag con nome Status e valore diQuarantine, esegui l'acquisizione forense dei dati e isola l'istanza).

  3. Acquisisci disco (istantanee EBS): acquisisci un'istantanea EBS dei volumi EBS collegati. Ogni snapshot include le informazioni che ti servono per il ripristino dei dati (dal momento in cui è stato generato lo snapshot) in un nuovo volume EBS. Consulta la procedura per eseguire la raccolta di risposte e artefatti in tempo reale se utilizzi volumi di Instance Store.

  4. Acquisizione di memoria: poiché gli snapshot EBS acquisiscono solo dati che sono stati scritti sul volume Amazon EBS, il che potrebbe escludere i dati archiviati o memorizzati nella cache dalle applicazioni o dal sistema operativo, è imperativo acquisire un'immagine di memoria di sistema utilizzando uno strumento open source o commerciale di terze parti appropriato per acquisire i dati disponibili dal sistema.

  5. (Facoltativo) Esegui la risposta in tempo reale/la raccolta di artefatti: esegui la raccolta mirata dei dati (disk/memory/logs) tramite risposta in tempo reale sul sistema solo se il disco o la memoria non possono essere acquisiti in altro modo o se esiste un motivo aziendale o operativo valido. In questo modo si modificheranno dati e artefatti importanti del sistema.

  6. Disattivazione dell'istanza: scollega l'istanza dai gruppi di Auto Scaling, annulla la registrazione dell'istanza dai sistemi di bilanciamento del carico e modifica o applica un profilo di istanza predefinito con autorizzazioni ridotte al minimo o assenti.

  7. Isola o contiene l'istanza: verifica che l'istanza sia effettivamente isolata da altri sistemi e risorse all'interno dell'ambiente terminando e impedendo le connessioni attuali e future da e verso l'istanza. Consulta la Contenimento sezione di questo documento per ulteriori dettagli.

  8. Scelta del risponditore: in base alla situazione e agli obiettivi, seleziona una delle seguenti opzioni:

    • Disattivate e spegnete il sistema (scelta consigliata).

      Spegnere il sistema una volta acquisite le prove disponibili per verificare la mitigazione più efficace rispetto a possibili impatti futuri sull'ambiente da parte dell'istanza.

    • Continua a eseguire l'istanza all'interno di un ambiente isolato dotato di strumentazione per il monitoraggio.

      Sebbene non sia consigliato come approccio standard, se una situazione richiede un'osservazione continua dell'istanza (ad esempio quando sono necessari dati o indicatori aggiuntivi per eseguire indagini e analisi complete dell'istanza), potresti prendere in considerazione la chiusura dell'istanza, la creazione di un'AMI dell'istanza e il riavvio dell'istanza nel tuo account forense dedicato all'interno di un ambiente sandbox preattrezzato per essere completamente isolato e configurato con strumentazione per facilitare la quasi continuità monitoraggio dell'istanza (per ad esempio, VPC Flow Logs o VPC Traffic Mirroring).

Nota

È essenziale acquisire la memoria prima delle attività di risposta in tempo reale o dell'isolamento o dello spegnimento del sistema per acquisire i dati volatili (e preziosi) disponibili.