# 构建取证能力
构建取证能力

 在发生安全事件之前，可以考虑构建取证能力来支持安全事件调查工作。NIST 发布的《[Guide to Integrating Forensic Techniques into Incident Response](https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf)》提供了此类指导。

# AWS 取证
AWS 取证

 传统本地取证的概念适用于 AWS。博客文章《[Forensic investigation environment strategies in the AWS Cloud](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)》提供了关键信息，便于您开始将取证专业知识迁移到 AWS。

 设置好取证的环境和 AWS 账户结构后，需要确定在以下四个阶段有效执行可靠取证方法所需的技术：
+ **收集**：收集相关的 AWS 日志，例如 AWS CloudTrail、AWS Config、VPC 流日志和主机级日志。收集受影响的 AWS 资源的快照、备份和内存转储。
+ **检查**：通过提取和评测相关信息来检查收集到的数据。
+ **分析**：分析收集到的数据，以便了解事件并从中得出结论。
+ **报告**：提供分析阶段得出的信息。

# 捕获备份和快照
捕获备份和快照

 为关键系统和数据库建立备份对于从安全事件中恢复和取证至关重要。有了备份，您就能够将系统恢复到以前的安全状态。在 AWS 上，您可以创建各种资源的快照。快照为您提供这些资源的时间点备份。有许多 AWS 服务能够在备份和恢复方面为您提供支持。有关这些服务以及备份和恢复方法的详细信息，请参阅 [Backup and Recovery Prescriptive Guidance](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html)。有关更多详细信息，请参阅博客文章《[Use backups to recover from security incidents](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/)》。

 特别是遇到勒索软件等情况时，妥善保护备份至关重要。有关保护备份的指导，请参阅博客文章《[Top 10 security best practices for securing backups in AWS](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/)》。除了确保备份安全外，您还应当定期测试备份和还原流程，从而确保现有的技术和流程按预期运行。

# AWS 上的取证自动化功能
AWS 上的取证自动化功能

 在安全事件发生期间，您的事件响应团队必须能够快速收集和分析证据，同时保持事件相关时间段的准确性。对于事件响应团队来说，在云环境中手动收集相关证据既具有挑战性又很耗时，尤其是在存在大量实例和账户的情况下。此外，手动收集容易出现人为错误。出于这些原因，客户应该开发和实现取证自动化功能。

 AWS 提供了大量用于取证的自动化资源，这些资源已整合到附录的[取证资源](appendix-b-incident-response-resources.md#forensic-resources)中。这些资源是我们开发并由客户实施的取证模式示例。虽然这些资源可能是有用的参考架构，但可以考虑根据您的环境、要求、工具和取证流程对资源进行修改，或者创建新的取证自动化模式。