本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 收集和分析鑑識證據
<a name="collect-analyze-forensic-evidence"></a>

 如本文件[準備](preparation.md)章節所述，鑑識是在事件回應期間收集和分析成品的程序。在 上 AWS，它適用於基礎設施網域資源，例如網路流量封包擷取、作業系統記憶體傾印，以及 AWS CloudTrail 日誌等服務網域資源。

 鑑識程序具有下列基本特性：
+  **一致** – 它遵循記錄的確切步驟，沒有偏差。
+  **可重複** – 在針對相同成品重複時，會產生完全相同的結果。
+  **慣例** – 它已公開記錄並廣泛採用。

 對於事件回應期間收集的成品，維護監管鏈非常重要。除了將成品存放在唯讀儲存庫之外，使用自動化並自動產生此集合的文件也很有幫助。分析應僅對收集成品的確切複本執行，以維護完整性。