View a markdown version of this page

Iniciar estações de trabalho forenses - Guia de resposta a incidentes de segurança da AWS
Tipos e locais de instância

Iniciar estações de trabalho forenses

Algumas de suas atividades de resposta a incidentes podem incluir a análise de imagens de disco, sistemas de arquivos, despejos de RAM ou outros artefatos envolvidos em um incidente. Muitos clientes criam uma estação de trabalho forense personalizada que podem usar para montar cópias de quaisquer volumes de dados afetados (conhecidos como snapshots do EBS). Para isso, siga estas etapas básicas:

  1. Escolha uma imagem de máquina da Amazon (AMI) básica (como Linux ou Microsoft Windows) que possa ser usada como uma estação de trabalho forense.

  2. Execute uma instância do Amazon EC2 a partir dessa AMI básica.

  3. Fortaleça o sistema operacional, remova pacotes de software desnecessários e configure mecanismos pertinentes de auditoria e registro em log.

  4. Instale seu conjunto preferido de toolkits privados ou de código aberto, bem como qualquer software e pacotes de fornecedores necessários.

  5. Pare a instância do Amazon EC2 e crie uma AMI a partir da instância interrompida.

  6. Crie um processo semanal ou mensal para atualizar e reconstruir a AMI com os patches de software mais recentes.

Depois que o sistema forense for provisionado usando uma AMI, sua equipe de resposta a incidentes poderá usar esse modelo para criar uma AMI a fim de iniciar uma nova estação de trabalho forense para cada investigação. O processo para iniciar a AMI como uma instância do Amazon EC2 pode ser pré-configurado para simplificar o processo de implantação. Por exemplo, você pode criar um modelo dos recursos de infraestrutura forense necessários em um arquivo de texto e implantá-lo em sua conta da AWS usando o AWS CloudFormation.

Quando seus recursos estiverem disponíveis para serem implantados rapidamente a partir de um modelo, seus especialistas forenses bem treinados poderão usar novas estações de trabalho forenses para cada investigação, em vez de reutilizar a infraestrutura. Com esse processo, você pode garantir que não haja contaminação cruzada de outros exames forenses.

Tipos e locais de instância

O Amazon EC2 oferece uma ampla seleção de tipos de instâncias otimizadas para diferentes casos de uso. Os tipos de instâncias consistem em várias combinações de CPU, memória, armazenamento e capacidade de rede e oferecem flexibilidade de escolha da composição adequada de recursos para as suas aplicações. Muitos tipos de instância incluem vários tamanhos de instância, o que permite dimensionar seus recursos de acordo com os requisitos da workload de destino. Para instâncias de resposta a incidentes, siga as políticas de GRC da sua empresa para localização e segmentação da rede que executa instâncias de produção.

A rede aprimorada da AWS usa virtualização de E/S raiz (SR-IOV) para fornecer recursos de rede de alta performance em tipos de instâncias compatíveis. A SR-IOV é um método de virtualização de dispositivos que fornece desempenho de E/S mais elevado e menor utilização de CPU em comparação com interfaces de redes virtualizadas tradicionais. A rede avançada fornece uma largura de banda maior, um desempenho melhor de pacotes por segundo (PPS) e latências entre instâncias consistentemente mais baixas. Não há nenhuma cobrança adicional pelo uso da rede avançada. Para obter informações sobre quais tipos de instância são compatíveis com velocidades de rede de 10 ou 25 Gbps e outros recursos avançados, consulte Tipos de instância do Amazon EC2.