使用 AWS Systems Manager

AWS Systems Manager Run Command 帮助您在远程安全地执行按需更改，在目标实例上运行 Linux Shell 脚本和 Windows PowerShell 命令。尽管您可以通过 AWS IAM 服务中的权限调用 Run Command，但您必须先将 Amazon EC2 实例激活为托管实例，在您的计算机上安装 SSM Agent（如果默认情况下未安装），然后配置 AWS IAM 权限。如果您想要使用 Run Command 执行自动化或响应活动，请确保在执行调查之前完成先决条件活动。

AWS Systems Manager（包括 Run Command）与 AWS CloudTrail 集成，后者是一种服务，可捕获由 Systems Manager 自身或代表其发出的 API 调用，并将日志文件传送到您指定的 Amazon S3 存储桶。通过使用 AWS CloudTrail 收集的信息，您可以确定发出了什么请求、发出请求的源 IP 地址、何人发出请求以及发出请求的时间等。CloudTrail 创建所有 Systems Manager API 操作的日志，包括使用 Run Command 执行命令或创建 Systems Manager 文档的 API 请求。

您可以使用 AWS Systems Manager Run Command 服务调用执行 Linux Shell 脚本和 Windows PowerShell 命令的 SSM Agent。这些脚本可以加载和执行特定的工具，以便从主机捕获其他数据，例如 Linux Memory Extractor（LiME）内核模块。然后，您可以将内存捕获传输到 VPC 网络中的取证 Amazon EC2 实例，或传输到 Amazon S3 存储桶以进行持久存储。