Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sviluppa capacità forensi
<a name="develop-forensics-capabilities"></a>

 Prima che si verifichi un incidente di sicurezza, puoi sviluppare funzionalità forensi per supportare le indagini sugli eventi di sicurezza. La [Guida all'integrazione delle tecniche forensi nella risposta agli incidenti](https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf) del NIST fornisce tali indicazioni. 

# Analisi forensi su AWS
<a name="forensics"></a>

 Si applicano i concetti della tradizionale analisi forense locale a. AWS Le [strategie relative all'ambiente di indagine forense riportate nel post del Cloud AWS](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/) blog forniscono informazioni chiave su cui iniziare a migrare le proprie competenze forensi. AWS

 Una volta configurati l'ambiente e la struttura degli AWS account per le indagini forensi, ti consigliamo di definire le tecnologie necessarie per eseguire efficacemente metodologie valide dal punto di vista forense nelle quattro fasi: 
+ **Raccolta**: raccogli AWS i log pertinenti, ad esempio i AWS CloudTrail log di flusso VPC e i log a livello di host. AWS Config Raccogli istantanee, backup e dump di memoria delle risorse interessate. AWS 
+ **Esame**: esamina i dati raccolti estraendo e valutando le informazioni pertinenti. 
+ **Analisi**: analizza i dati raccolti per comprendere l'incidente e trarne conclusioni. 
+ **Segnalazione**: presenta le informazioni risultanti dalla fase di analisi. 

# Acquisizione di backup e snapshot
<a name="capture-backups-and-snapshots"></a>

 La configurazione dei backup di sistemi e database importanti è fondamentale per il ripristino da un incidente di sicurezza e per scopi forensi. Grazie ai backup puoi ripristinare i tuoi sistemi allo stato di sicurezza precedente. Sì AWS, puoi scattare istantanee di varie risorse. Le istantanee forniscono il point-in-time backup di tali risorse. Esistono molti servizi AWS che offrono supporto nelle operazioni di backup e ripristino. Per informazioni dettagliate su questi servizi [e approcci per il backup e il ripristino, fare riferimento alla Guida prescrittiva](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html) per il backup e il ripristino. Per maggiori dettagli, consulta il post sul [blog Use backups to recovery from security incidents](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/).

 Soprattutto in situazioni come un attacco ransomware, è fondamentale che i backup siano ben protetti. Per indicazioni su come proteggere i backup, consulta le [10 migliori pratiche di sicurezza per proteggere i backup nel](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/) post del AWS blog. Oltre a proteggere i backup, è necessario sottoporli regolarmente a processi di backup e ripristino per verificare che tecnologia e procedure in uso funzionino come previsto. 

# Automazione delle analisi forensi su AWS
<a name="automate-forensics"></a>

 Durante un evento di sicurezza, il team di risposta agli incidenti deve essere in grado di raccogliere e analizzare rapidamente le prove, mantenendo al contempo l'accuratezza per il periodo di tempo che circonda l'evento. Per il team di risposta agli incidenti è sia impegnativo che dispendioso in termini di tempo raccogliere manualmente le prove pertinenti in un ambiente cloud, in particolare su un gran numero di istanze e account. Inoltre, la raccolta manuale può essere soggetta all'errore umano. Per questi motivi, i clienti dovrebbero sviluppare e implementare l'automazione per l'analisi forense. 

 AWS offre una serie di risorse di automazione per l'analisi forense, che sono consolidate nell'Appendice sotto. [Risorse forensi](appendix-b-incident-response-resources.md#forensic-resources) Queste risorse sono esempi di modelli di funzionalità forensi che abbiamo sviluppato, implementate dai clienti Sebbene costituiscano un'utile architettura di riferimento per iniziare, prendi in considerazione la possibilità di modificarli o creare nuovi modelli di automazione per le funzionalità forensi in base ad ambiente, requisiti, strumenti e processi forensi.