View a markdown version of this page

Usar o AWS Systems Manager - Guia de resposta a incidentes de segurança da AWS

Usar o AWS Systems Manager

O AWS Systems Manager Run Command ajuda a executar alterações sob demanda de forma remota e segura executando scripts de shell do Linux e comandos do Windows PowerShell em uma instância de destino. Embora seja possível invocar o Run Command por meio de permissões no serviço AWS IAM, é necessário primeiro ativar suas instâncias do Amazon EC2 como instâncias gerenciadas, instalar o SSM Agent em suas máquinas (se ele não estiver instalado por padrão) e configurar as permissões do AWS IAM. Se você estiver interessado em usar o Run Command para atividades de automação ou resposta, execute as atividades de pré-requisito antes de realizar uma investigação.

O AWS Systems Manager, que inclui o Run Command, é integrado ao AWS CloudTrail, um serviço que captura chamadas de API feitas por ou em nome de um Systems Manager e entrega os arquivos de log a um bucket do Amazon S3 especificado por você. Usando as informações coletadas pelo AWS CloudTrail, você pode determinar qual solicitação foi feita, o endereço IP de origem a partir do qual a solicitação foi feita, quem a fez, quando ela foi feita etc. O CloudTrail cria logs de todas as ações da API do Systems Manager, incluindo solicitações de API para executar comandos usando o Run Command ou para criar documentos do Systems Manager.

Você pode usar o serviço AWS Systems Manager Run Command para chamar o SSM Agent que executa scripts de shell do Linux e comandos do Windows PowerShell. Esses scripts podem carregar e executar ferramentas específicas para capturar dados adicionais do host, como o módulo de kernel Linux Memory Extractor (LiME). Depois, você pode transferir a captura de memória para sua instância forense do Amazon EC2 na rede VPC ou para um bucket do Amazon S3 para armazenamento durável.