Coleta de artefatos relevantes - Guia do usuário do AWS Security Incident Response

Coleta de artefatos relevantes

Considerando essas características e com base nos alertas relevantes e na avaliação do impacto e do escopo, será necessário coletar os dados que serão relevantes para as investigações e para as análises posteriores. Diversos tipos e fontes de dados podem ser relevantes para a investigação, incluindo logs do ambiente de gerenciamento e dos serviços (nomeadamente, CloudTrail, eventos de dados do Amazon S3 e fluxo de logs da VPC), dados (por exemplo, metadados e objetos do Amazon S3) e recursos (como bancos de dados e instâncias do Amazon EC2).

Os logs do ambiente de gerenciamento e do serviço podem ser coletados para análise local ou, idealmente, consultados diretamente por meio de serviços nativos da AWS (quando aplicável). Os dados, incluindo metadados, podem ser consultados diretamente para obter informações relevantes ou para adquirir os objetos de origem, por exemplo, usar a AWS CLI CLI para obter metadados do bucket e do objeto do Amazon S3, bem como acessar diretamente os objetos de origem. Os recursos precisam ser coletados de maneira consistente com seu tipo e com o método de análise pretendido. Por exemplo, os bancos de dados podem ser coletados por meio da criação de uma cópia ou de um snapshot do sistema que executa o banco de dados, da cópia ou do snapshot do próprio banco de dados, ou pela consulta e extração de determinados dados e logs relevantes à investigação.

Para instâncias do Amazon EC2, existe um conjunto específico de dados que deve ser coletado e uma ordem definida de coleta que deve ser seguida, a fim de adquirir e preservar a maior quantidade possível de dados para fins de análise e de investigação.

De forma específica, a sequência recomendada de ações para resposta a incidentes, com o objetivo de adquirir e preservar a maior quantidade possível de dados de uma instância do Amazon EC2, é a seguinte:

  1. Adquirir metadados da instância: adquira os metadados da instância que sejam relevantes para a investigação e para consultas de dados (nomeadamente, ID da instância, tipo, endereço IP, ID da VPC ou da sub-rede, região, ID da imagem de máquina da Amazon [AMI], grupos de segurança associados e horário de inicialização).

  2. Habilitar proteções e etiquetas da instância: habilite as proteções da instância, como a proteção contra rescisão, configure o comportamento de desligamento para a interrupção (caso esteja definido como encerrar), desabilite os atributos Excluir ao Encerrar dos volumes do EBS anexados e aplique etiquetas apropriadas tanto para identificação visual quanto para utilização em possíveis automações de resposta (por exemplo, ao aplicar uma etiqueta com o nome Status e o valor Quarantine, realizar a aquisição forense dos dados e isolar a instância).

  3. Adquirir disco (snapshots do EBS): adquira um snapshot do EBS dos volumes do EBS anexados. Cada snapshot armazena as informações necessárias para restaurar os dados, a partir do momento em que o snapshot foi criado, em um novo volume do EBS. Consulte a etapa para executar a resposta em tempo real e a coleta do artefato, caso esteja usando volumes do armazenamento de instância.

  4. Adquirir memória: como os snapshots do EBS capturam somente os dados que foram gravados no volume do Amazon EBS, o que pode excluir dados armazenados ou em cache na memória pelas aplicações ou pelo sistema operacional, é imprescindível adquirir uma imagem da memória do sistema usando uma ferramenta apropriada de uma entidade externa, seja ela de código aberto ou comercial, a fim de obter os dados disponíveis no sistema.

  5. (Opcional) Realizar a coleta da resposta e dos artefatos em tempo real: realize a coleta direcionada de dados (para disco, memória e logs) por meio da resposta em tempo real no sistema somente se não for possível adquirir o disco ou a memória por outros meios, ou se houver uma justificativa válida de natureza operacional ou comercial. Essa ação modificará dados e artefatos valiosos do sistema.

  6. Descomissionar a instância: realize o desvinculamento da instância dos grupos do Auto Scaling, cancele o registro da instância nos balanceadores de carga e ajuste ou aplique um perfil de instância definido previamente com permissões reduzidas ou inexistentes.

  7. Isolar ou realizar a contenção da instância: verifique se a instância está efetivamente isolada de outros sistemas e recursos no ambiente ao realizar o encerramento e evitar conexões atuais e futuras de e para a instância. Consulte a seção Contenção deste documento para obter mais detalhes.

  8. Opção do responsável pela resposta a incidentes: com base na situação e nas metas, selecione uma das seguintes opções:

    • Desativar e encerrar o sistema (recomendado).

      Encerre o sistema assim que as evidências disponíveis forem adquiridas, a fim de verificar a mitigação mais eficaz contra um possível impacto futuro ao ambiente causado pela instância.

    • Manter a instância em operação em um ambiente isolado com instrumentação para monitoramento.

      Embora não seja recomendado como uma abordagem padrão, se uma situação justificar a observação contínua da instância (como quando dados ou indicadores adicionais são necessários para realizar uma investigação e análise abrangentes da instância), você pode considerar encerrar a instância, criar uma AMI da instância e iniciá-la novamente em sua conta dedicada à análise forense, dentro de um ambiente de sandbox que já esteja instrumentado para ser completamente isolado e configurado com instrumentação para facilitar o monitoramento quase contínuo da instância (por exemplo, os logs de fluxo da VPC ou a VPC Traffic Mirroring).

nota

É essencial capturar a memória antes das atividades de resposta em tempo real ou do isolamento ou desligamento do sistema, a fim de coletar dados voláteis (e valiosos) disponíveis.