收集相关构件
牢记这些特性,基于相关警报以及对其影响范围的评估,需要收集与进一步调查和分析相关的数据。可能与调查相关的各类数据及其来源包括:服务/控制面板日志(CloudTrail、Amazon S3 数据事件、VPC 流日志)、数据(Amazon S3 元数据和对象)以及资源(数据库、Amazon EC2 实例)。
可收集服务/控制面板日志以进行本地分析,或者理想情况下,使用 AWS 原生服务直接查询(如适用)。可直接查询数据(包括元数据)以获取相关信息或获取源对象;例如,使用 AWS CLI 以获取 Amazon S3 存储桶和对象元数据,并直接获取源对象。必须按照与资源类型及预期分析方法相符的方式收集资源。例如,可通过以下方式收集数据库:创建运行数据库的系统的副本/快照、创建整个数据库本身的副本/快照,或查询并提取数据库中与调查相关的特定数据和日志。
对于 Amazon EC2 实例,应收集一组特定数据,同时应遵循特定的收集顺序,以获取和保留最多数据以供分析和调查。
具体而言,从 Amazon EC2 实例获取和保留最多数据的响应顺序如下:
-
获取实例元数据:获取与调查和数据查询相关的实例元数据(实例 ID、类型、IP 地址、VPC/子网 ID、区域、亚马逊机器映像(AMI)ID、附加的安全组、启动时间)。
-
启用实例保护和标签:启用实例保护,例如终止保护、将关闭行为设为停止(如果设为终止)、禁用附加 EBS 卷的“终止时删除”属性,以及应用适当的标签以用于视觉标记和可能的响应自动化(例如,在应用名称为
Status、值为Quarantine的标签时,执行数据取证获取并隔离实例)。 -
获取磁盘(EBS 快照):获取附加 EBS 卷的 EBS 快照。每个快照包含将数据(拍摄快照时的数据)还原到新 EBS 卷所需的信息。如果您使用的是实例存储卷,请参阅执行实时响应/构件收集的步骤。
-
获取内存:由于 EBS 快照只能捕获已写入 Amazon EBS 卷的数据(可能会排除应用程序或操作系统存储或缓存在内存中的数据),因此必须使用合适的第三方开源或商业工具获取系统内存映像,这样才能获取系统中的可用数据。
-
(可选)执行实时响应/构件收集:仅在无法通过其他方式获取磁盘或内存,或存在有效的业务或操作原因时,才能通过系统上的实时响应执行针对性数据收集(磁盘/内存/日志)。执行此操作将修改重要的系统数据和构件。
-
停用实例:将实例与自动扩缩组分离、从负载均衡器注销实例,并调整或应用具有最低权限或无权限的预构建实例配置文件。
-
隔离或遏制实例:通过终止和阻止当前及未来与该实例的双向连接,验证实例是否已与环境中的其他系统和资源有效隔离。有关详细信息,请参阅本文档的遏制一节。
-
响应人员选择:根据具体情况和目标,选择下列选项之一:
-
停用并关闭系统(建议)。
获取可用证据后关闭系统,以确保缓解措施是否最有效,防止实例将来可能会对环境造成的影响。
-
在配备监控工具的隔离环境中继续运行实例。
尽管不建议将其作为标准方法,但如果存在需要对实例进行持续观测的情况(例如需要其他数据或指标以对实例进行全面调查和分析时),可以考虑关闭实例,创建实例的 AMI,然后在已预置为完全隔离且配备检测工具(例如 VPC 流日志或 VPC Traffic Mirroring)的沙盒环境中,使用专用的取证账户重新启动该实例,以便近乎持续地监控该实例。
-
注意
必须在执行实时响应活动、系统隔离或关闭之前捕获内存,这样才能捕获可用的易失性(且宝贵的)数据。
