# SEC10-BP03 准备取证能力
<a name="sec_incident_response_prepare_forensic"></a>

在发生安全事件之前，可以考虑构建取证能力来支持安全事件调查工作。

 **在未建立这种最佳实践的情况下暴露的风险等级：**中 

 传统本地取证的概念适用于 AWS。有关开始在 AWS 云 中构建取证功能的关键信息，请参阅《[Forensic investigation environment strategies in the AWS 云](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)》。

 设置好取证的环境和 AWS 账户 结构后，确定在以下四个阶段有效执行可靠取证方法所需的技术：
+  **收集：**收集相关的 AWS 日志，例如 AWS CloudTrail、AWS Config、VPC 流日志和主机级日志。收集受影响的 AWS 资源的快照、备份和内存转储（如果有）。
+  **检查：**通过提取和评测相关信息来检查收集到的数据。
+  **分析：**分析收集到的数据，以便了解事件并从中得出结论。
+  **报告：**提供分析阶段得出的信息。

## 实施步骤
<a name="implementation-steps"></a>

 **准备取证环境** 

 [AWS Organizations](https://aws.amazon.com/organizations/) 有助于您随着 AWS 资源的增长和扩展，集中管理和监管 AWS 环境。AWS 组织会整合您的 AWS 账户，这样您就能够将这些账户作为一个单元进行管理。您可以使用组织单元 (OU)，将账户分组到一起，作为一个单元管理。

 对于事件响应，拥有一个支持事件响应功能的 AWS 账户 结构（包括*安全 OU* 和*取证 OU*）会很有帮助。在安全 OU 中，您应该拥有以下账户：
+  **日志存档：**将日志聚合到权限有限的日志存档 AWS 账户 中。
+  **安全工具：**将安全服务集中在安全工具 AWS 账户 中。此账户以安全服务的委托管理员身份运行。

 在取证 OU 中，您可以选择实施单一取证账户，也可以为您运营的每个区域实施账户，具体取决于哪种账户最适合您的业务和运营模式。如果为每个区域创建一个取证账户，就可以阻止在该区域之外创建 AWS 资源，降低资源被复制到非预期区域的风险。例如，如果您只在美国东部（弗吉尼亚州北部）区域（`us-east-1`）和 美国西部（俄勒冈州）（`us-west-2`）运营，那么您将在取证 OU 中拥有两个账户：一个用于 `us-east-1`，另一个用于 `us-west-2`。

 可以为多个区域创建取证 AWS 账户。在将 AWS 资源复制到该账户时应小心谨慎，确保符合数据主权要求。由于预置新账户需要时间，因此必须在事件发生前创建和分析取证账户，以便响应人员能够做好准备，有效地使用这些账户进行响应。

 下图显示了一个账户结构示例，其中包括一个取证 OU，涵盖了根据每个区域创建的取证账户：

![\[流程图显示了用于响应事件而根据区域创建的账户结构，分为安全 OU 和取证 OU。\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/latest/framework/images/region-account-structure.png)


 **捕获备份和快照** 

 为关键系统和数据库建立备份对于从安全事件中恢复和取证至关重要。有了备份，您就能够将系统恢复到以前的安全状态。在 AWS 上，您可以创建各种资源的快照。快照为您提供这些资源的时间点备份。有许多 AWS 服务能够在备份和恢复方面为您提供支持。有关这些服务以及备份和恢复方法的详细信息，请参阅《[Backup and Recovery Prescriptive Guidance](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html)》以及《[Use backups to recover from security incidents](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/)》。

 特别是遇到勒索软件等情况时，妥善保护备份至关重要。有关保护备份的指导，请参阅《[Top 10 security best practices for securing backups in AWS](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/)》。除了确保备份安全外，您还应当定期测试备份和还原流程，从而确保现有的技术和流程按预期运行。

 **自动取证** 

 在安全事件期间，您的事件响应团队必须能够快速收集和分析证据，同时保持事件相关时间段的准确性（例如捕获与特定事件或资源相关的日志，或收集 Amazon EC2 实例的内存转储）。对于事件响应团队来说，手动收集相关证据既具有挑战性又很耗时，尤其是在存在大量实例和账户的情况下。此外，手动收集容易出现人为错误。出于这些原因，您应该尽可能开发和实现取证自动化功能。

 AWS 提供了大量用于取证的自动化资源，这些资源在下面的“资源”部分中列出。这些资源是我们开发并由客户实施的取证模式示例。虽然这些资源可能是有用的参考架构，但可以考虑根据您的环境、要求、工具和取证流程对资源进行修改，或者创建新的取证自动化模式。

## 资源
<a name="resources"></a>

 **相关文档：**
+ 《[AWS Security Incident Response Guide》– Develop Forensics Capabilities](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-forensics-capabilities.html)
+ 《[AWS Security Incident Response Guide》– Forensics Resources](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-b-incident-response-resources.html#forensic-resources)
+ [AWS 云 中的取证调查环境策略](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)
+  [如何在 AWS 中自动实施取证磁盘收集](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/) 
+ [AWS Prescriptive Guidance – 自动化事件响应和取证 ](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)

 **相关视频：**
+ [ 自动化事件响应和取证 ](https://www.youtube.com/watch?v=f_EcwmmXkXk)

 **相关示例：**
+ [ 自动事件响应和取证框架 ](https://github.com/awslabs/aws-automated-incident-response-and-forensics)
+ [ Amazon EC2 的自动取证编排工具 ](https://docs.aws.amazon.com/solutions/latest/automated-forensics-orchestrator-for-amazon-ec2/welcome.html)