# Avvio delle workstation forensi
Alcune delle attività di risposta agli incidenti potrebbero includere l'analisi di immagini del disco, file system, dump della RAM o altri artefatti coinvolti in un incidente. Molti clienti creano una workstation forense personalizzata che possono utilizzare per montare copie di qualsiasi volume di dati interessato (noti come snapshot EBS). Per fare ciò, segui i passaggi di base indicati di seguito:
1. Scegli un'Amazon Machine Image (AMI) di base (come Linux o Microsoft Windows) che può essere utilizzata come workstation forense.
1. Avvia un'istanza Amazon EC2 dall'AMI di base.
1. Rafforza il sistema operativo, rimuovi i pacchetti software non necessari e configura i meccanismi di verifica e registrazione pertinenti.
1. Installa la suite preferita di kit di strumenti open source o privati, nonché qualsiasi software e pacchetto del fornitore di cui hai bisogno.
1. Arresta l'istanza Amazon EC2 e crea una nuova AMI dall'istanza arrestata.
1. Crea un processo settimanale o mensile per aggiornare e ricostruire l'AMI con le patch software più recenti.
Dopo aver effettuato il provisioning del sistema forense tramite un'AMI, il team di risposta agli incidenti può utilizzare questo modello per creare una nuova AMI per avviare una nuova workstation forense per ogni indagine. Il processo di avvio dell'AMI come istanza Amazon EC2 può essere preconfigurato per semplificare il processo di implementazione. Ad esempio, puoi creare un modello delle risorse dell'infrastruttura forense di cui hai bisogno in un file di testo e implementarli nell'account AWS utilizzando AWS CloudFormation.
Quando le risorse sono disponibili per essere implementate rapidamente da un modello, gli esperti forensi ben addestrati sono in grado di utilizzare nuove workstation forensi per ogni indagine, invece di riutilizzare l'infrastruttura. Con questo processo, è possibile assicurarsi che non vi siano contaminazioni incrociate da altri esami forensi.
## Tipi e posizioni delle istanze
Amazon EC2 offre un'ampia gamma di tipi di istanze ottimizzati per soddisfare diversi casi d'uso. I tipi di istanze comprendono diverse combinazioni di capacità di CPU, memoria, archiviazione e di rete, offrendo la flessibilità di poter scegliere la combinazione di risorse adeguata per le proprie applicazioni. Molti tipi di istanze includono più dimensioni di istanze, che consentono di dimensionare le risorse in base ai requisiti del carico di lavoro di destinazione. Per le istanze di risposta agli incidenti, seguire le policy GRC dell'azienda per la posizione e la segmentazione dalla rete che esegue le istanze di produzione.
Le reti avanzate AWS utilizzano la specifica SR-IOV (Single Root I/O Virtualization) per fornire funzionalità di rete a prestazioni elevate sui [tipi di istanza supportati](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html#supported_instances). SR-IOV è un metodo di virtualizzazione dei dispositivi che fornisce prestazioni I/O più elevate e minore utilizzo della CPU rispetto alle interfacce di rete virtualizzate tradizionali. Le reti avanzate forniscono infatti una larghezza di banda più alta, prestazioni PPS (pacchetti al secondo) superiori e latenze tra istanze significativamente più basse. L'utilizzo di questo servizio avanzato non comporta costi supplementari. Per informazioni sui tipi di istanza che supportano velocità di rete a 10 o 25 Gbps e altre funzionalità avanzate, consulta [Tipi di istanze Amazon EC2](https://aws.amazon.com/ec2/instance-types).