# Desenvolvimento de funcionalidades de análise forense
Antes de um incidente de segurança, considere o desenvolvimento de recursos forenses para contribuir com as investigações de eventos de segurança. O guia [Guide to Integrating Forensic Techniques into Incident Response](https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf) elaborado pelo NIST oferece orientações sobre o tema.
# Análise forense na AWS
Os conceitos da análise forense on-premises tradicional se aplicam à AWS. A publicação do blog [Forensic investigation environment strategies in the Nuvem AWS](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/) fornece informações essenciais para que você possa iniciar a migração do conhecimento técnico forense para a AWS.
Após configurar seu ambiente e a estrutura de contas da AWS para a análise forense, será necessário definir as tecnologias requeridas para executar metodologias que preservem a integridade forense nas quatro fases:
+ **Coleta:** realize a coleta de logs relevantes da AWS, como os logs do AWS CloudTrail, os logs do AWS Config, os logs de fluxo da VPC e os logs em nível de host. Além disso, colete snapshots, backups e despejos de memória dos recursos da AWS impactados.
+ **Exame:** examine os dados coletados ao extrair e ao avaliar as informações relevantes.
+ **Análise:** analise os dados coletados a fim de compreender o incidente e tirar conclusões a partir deles.
+ **Relatório:** apresente as informações resultantes da fase de análise.
# Capture backups e snapshots
Configurar backups dos principais sistemas e bancos de dados é essencial para a recuperação de um incidente de segurança e para fins forenses. Com os backups em vigor, você pode restaurar seus sistemas ao estado seguro anterior. Na AWS, é possível criar snapshots de vários recursos. Os snapshots fornecem backups pontuais desses recursos. Há muitos serviços da AWS que podem ajudar em backup e recuperação. Consulte o guia [Backup and Recovery Prescriptive Guidance](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html) para obter mais detalhes sobre esses serviços e abordagens para backup e para recuperação. Para obter mais detalhes, consulte a publicação do blog [Use backups to recover from security incidents](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/).
Especialmente quando se trata de situações como ransomware, é fundamental que os backups estejam bem protegidos. Consulte a publicação do blog [Top 10 security best practices for securing backups in AWS](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/) para obter orientações sobre como proteger seus backups. Além de proteger os backups, você deve testar regularmente seus processos de backup e restauração para verificar se a tecnologia e os processos implementados funcionam conforme o esperado.
# Automação de análise forense na AWS
Durante um evento de segurança, sua equipe de resposta a incidentes deve ser capaz de coletar e de analisar evidências rapidamente, ao mesmo tempo em que mantém a precisão em relação ao intervalo de tempo relacionado ao incidente. É desafiador e demorado para a equipe de resposta a incidentes coletar manualmente as evidências relevantes em um ambiente de nuvem, especialmente quando há um grande número de instâncias e contas envolvidas. Além disso, a coleta manual pode estar sujeita a erros humanos. Por esses motivos, recomenda-se que os clientes desenvolvam e implementem mecanismos automatizados para a análise forense.
A AWS disponibiliza diversos recursos de automação para a análise forense, os quais estão consolidados no Apêndice na seção [Recursos relacionados à análise forense](appendix-b-incident-response-resources.md#forensic-resources). Esses recursos são exemplos de padrões forenses que desenvolvemos e que os clientes implementaram. Embora possam ser uma arquitetura de referência útil para começar, considere modificá-las ou criar padrões de automação forense com base em seu ambiente, requisitos, ferramentas e processos forenses.