Utilizzo di AWS Systems Manager

Il Run Command di AWS Systems Manager consente di eseguire in remoto e in modo sicuro modifiche on demand eseguendo script di shell Linux e comandi di Windows PowerShell su un'istanza di destinazione. Sebbene sia possibile richiamare Run Command tramite le autorizzazioni nel servizio AWS IAM, è necessario prima attivare le istanze Amazon EC2 come istanze gestite, installare SSM Agent sui computer (se non è installato di default) e configurare le autorizzazioni AWS IAM. Se sei interessato a utilizzare Run Command per attività di automazione o risposta, assicurati di completare le attività prerequisite prima di eseguire un'indagine.

AWS Systems Manager, che include Run Command, è integrato con AWS CloudTrail, un servizio che acquisisce le chiamate API effettuate da o per conto di un Systems Manager e consegna i file di log a un bucket Simple Storage Service (Amazon S3) specificato. Le informazioni raccolte da AWS CloudTrail consentono di determinare la richiesta effettuata, l'indirizzo IP di origine che ha effettuato la richiesta, l'autore della richiesta, il momento in cui è stata effettuata e così via. CloudTrail crea registri di tutte le operazioni API di Systems Manager, incluse le richieste API di esecuzione di comandi utilizzando Run Command o per creare documenti di Systems Manager.

È possibile utilizzare il servizio Run Command di AWS Systems Manager per richiamare l'SSM Agent che esegue gli script della shell Linux e i comandi di Windows PowerShell. Questi script possono caricare ed eseguire strumenti specifici per acquisire dati aggiuntivi dall'host, come il modulo del kernel Linux Memory Extractor (LiME). È quindi possibile trasferire l'acquisizione della memoria nell'istanza forense di Amazon EC2 nella rete VPC o in un bucket Simple Storage Service (Amazon S3) per un'archiviazione durevole.