启动取证工作站
您的一些事件响应活动可能需要分析磁盘映像、文件系统、RAM 转储或者事件中涉及的其他构件。许多客户构建了一个自定义的取证工作站,他们可以使用该工作站挂载任何受影响的数据卷的副本(称为 EBS 快照)。为此,请按照以下基本步骤操作:
-
选择可以用作取证工作站的基本 Amazon Machine Image(AMI)(例如 Linux 或 Microsoft Windows)。
-
从该基本 AMI 启动 Amazon EC2 实例。
-
强化操作系统、删除不需要的软件包并配置相关的审计和日志记录机制。
-
安装您首选的开源或私有工具包套件,以及您需要的任何供应商软件和软件包。
-
停止 Amazon EC2 实例,然后从已停止的实例创建新的 AMI。
-
创建每周或每月的流程,使用最新的软件补丁更新和重建 AMI。
使用 AMI 预置取证系统后,您的事件响应团队可以使用此模板创建新的 AMI,以便为每次调查启动新的取证工作站。可以预先配置作为 Amazon EC2 实例启动 AMI 的流程,以简化部署过程。例如,您可以在文本文件中创建所需取证基础设施资源的模板,然后使用 AWS CloudFormation 将其部署到您的 AWS 账户中。
当您的资源可以通过模板快速部署时,训练有素的取证专家能够为每次调查使用新的取证工作站,而不是重复使用基础设施。通过此过程,您可以确保没有来自其他取证检验的交叉污染。
实例类型和位置
Amazon EC2 提供了针对不同使用案例进行优化的多种实例类型以供选择。实例类型由 CPU、内存、存储和网络容量组成不同的组合,可让您灵活地为您的应用程序选择适当的资源组合。许多实例类型包括多种实例大小,从而使您能够根据目标工作负载的要求扩展资源。对于事件响应实例,请遵循您公司为运行生产实例的网络的位置和分段制定的 GRC 策略。
AWS 增强联网使用单个根 I/O 虚拟化(SR-IOV)为支持的实例类型提供高性能的联网功能。SR-IOV 是一种设备虚拟化方法,与传统虚拟化网络接口相比,它不仅能提高 I/O 性能,还能降低 CPU 使用率。增强联网可以提高带宽,提高每秒数据包数 (PPS) 性能,并不断降低实例间的延迟。使用增强联网不收取任何额外费用。有关哪些实例类型支持 10Gbps 或 25Gbps 网络速度以及其他高级功能的信息,请参阅 Amazon EC2 实例类型
