# Coleta e análise de evidências forenses
<a name="collect-analyze-forensic-evidence"></a>

 A análise forense, conforme mencionada na seção [Preparação](preparation.md) deste documento, consiste no processo de coleta e de análise de artefatos durante a resposta a incidentes. Na AWS, essa análise se aplica a recursos do domínio de infraestrutura, como capturas de pacotes de tráfego de rede e despejos de memória do sistema operacional, bem como a recursos do domínio de serviços, como os logs do AWS CloudTrail. 

 As principais características do processo forense são: 
+  **Consistência**: adoção rigorosa das etapas documentadas, sem alterações. 
+  **Repetibilidade**: capacidade de gerar exatamente os mesmos resultados ao aplicar novamente o processo ao mesmo artefato. 
+  **Caráter habitual**: documentado publicamente e amplamente adotado. 

 É importante manter uma cadeia de custódia dos artefatos coletados durante a resposta a incidentes. O uso de automação e da geração automática de documentação desse processo de coleta podem ser úteis, além do armazenamento dos artefatos em repositórios com permissão somente de leitura. A análise deve ser realizada apenas em réplicas exatas dos artefatos coletados, a fim de preservar sua integridade.