# SEC10-BP03 準備鑑識功能
<a name="sec_incident_response_prepare_forensic"></a>

在安全事故發生之前，請將開發鑑識功能納入考量，以協助安全事件調查。

 **未建立此最佳實務時的曝險等級：** 中 

 傳統內部部署鑑識的概念適用於 AWS。如需開始在 AWS 雲端 中建置鑑識功能的重要資訊，請參閱 [AWS 雲端 中的鑑識調查環境策略](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)。 

 設定鑑識的環境和 AWS 帳戶 結構後，請定義在四個階段有效執行合理鑑識方法所需的技術： 
+  **收集:** 收集相關 AWS 日誌，例如 AWS CloudTrail、AWS Config、VPC 流程日誌和主機層級日誌。收集受影響 AWS 資源的快照、備份和記憶體傾印 (如果有的話)。 
+  **測驗：** 檢視透過擷取和評估相關資訊所收集的資料。 
+  **分析：** 分析收集的資料，以了解事故並從中得出結論。 
+  **報告：** 呈現分析階段所產生的資訊。 

## 實作步驟
<a name="implementation-steps"></a>

 **準備鑑識環境** 

 [AWS Organizations](https://aws.amazon.com/organizations/) 可協助您隨著 AWS 資源的成長和擴展，集中管理和控管 AWS 環境。AWS 組織會合併 AWS 帳戶，以便您可以將其當作一個單位進行管理。您可以使用組織單位 (OU) 將帳戶分組，以作為一個單位進行管理。 

 如需事故應變，建議您建立可支援事故應變功能的 AWS 帳戶 結構，其中包括 *安全性 OU* 和 *鑑識 OU*。在安全性 OU 中，您應該擁有下列項目的帳戶： 
+  **日誌存檔：** 使用有限的許可彙總日誌存檔 AWS 帳戶 中的日誌。 
+  **安全性工具：** 將安全性服務集中在安全工具 AWS 帳戶 中。此帳戶會以安全性服務的委派系統管理員身分運作。 

 在鑑識 OU 中，您可以選擇為營運所在的每個區域實作一或多個鑑識帳戶，具體視哪個區域最適合您業務和營運模式而定。如果您為每個區域建立鑑識帳戶，則可以防止該區域以外的 AWS 資源建立，並降低將資源複製到非預期區域的風險。例如，如果您只在 US East (N. Virginia) Region (`美國東部 (us-east-1`) 和 US West (Oregon) 美國西部 (`us-west-2)`) 進行營運，則鑑識 OU 中會有兩個帳戶：一個用於 `美國東部 (us-east-1` 另一個用於 `us-west-2)`。 

 您可以為多個區域建立鑑識 AWS 帳戶。您在將 AWS 資源複製到該帳戶時應小心，以確認是否符合資料主權要求。佈建新帳戶需要一些時間，因此必須在事故之前建立和檢測鑑識帳戶，以便回應人員能夠有效地使用這些帳戶進行回應。 

 下圖顯示範例帳戶結構，包括具有每個區域鑑識帳戶的鑑識 OU： 

![流程圖顯示事故應變的每個區域帳戶結構，分為安全性和鑑識 OU。](http://docs.aws.amazon.com/zh_tw/wellarchitected/2023-10-03/framework/images/region-account-structure.png)


 **擷取備份和快照** 

 設定重要系統和資料庫的備份，對於從安全性事故中復原和鑑識用途非常重要。備份就緒後，您可以將系統還原到先前的安全狀態。您可以在 AWS 上拍攝各種資源的快照。快照可為您提供那些資源的時間點備份。有許多 AWS 服務，可以在備份和復原方面為您提供支援。如需這些備份與復原之服務和方法的詳細資訊，請參閱 [備份與復原規範指引](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html) 和 [使用備份從安全性事故中復原](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/)。 

 尤其是當涉及勒索軟體等情況時，務必確保備份是否有充足的保護。如需保護備份的指引，請參閱 [在 AWS 中保護備份的 10 大安全性最佳實務](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/)。除了確保備份的安全之外，您還應該定期測試備份和還原程序，以確認您現有的技術和程序是否如預期般運作。 

 **自動化鑑識** 

 在安全事件期間，事故應變團隊必須能夠快速收集和分析證據，同時維持事件周圍期間的準確性 (例如擷取與特定事件或資源相關的日誌，或收集 Amazon EC2 執行個體的記憶體傾印)。事故應變團隊手動收集相關證據既具挑戰性又耗時，尤其是範圍遍及大量執行個體和帳戶時。此外，手動收集可能容易出現人為錯誤。基於這些原因，您應盡可能開發和實作鑑識的自動化。 

 AWS 為鑑識提供許多自動化資源，內容列於以下的資源區段。這些資源是我們已開發和客戶已實作的鑑識模式範例。雖然這些範例在一開始可能是有用的參考架構，但請根據環境、需求、工具和鑑識程序，考慮是否加以修改或建立新的鑑識自動化模式。 

## 資源
<a name="resources"></a>

 **相關文件：** 
+ [AWS 安全事故應變指南 - 開發鑑識功能 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-forensics-capabilities.html)
+ [AWS 安全事故應變指南 - 鑑識資源 ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-b-incident-response-resources.html#forensic-resources)
+ [AWS 雲端 中的鑑識調查環境策略](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)
+  [如何在 AWS 中自動化鑑識磁碟收集](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/) 
+ [AWS 規範性指引 - 自動化事故應變和鑑識 ](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)

 **相關影片：** 
+ [ 自動化事故回應和鑑識 ](https://www.youtube.com/watch?v=f_EcwmmXkXk)

 **相關範例：** 
+ [ 自動化事故應變與鑑識架構 ](https://github.com/awslabs/aws-automated-incident-response-and-forensics)
+ [ Amazon EC2 的自動化鑑識協調器 ](https://docs.aws.amazon.com/solutions/latest/automated-forensics-orchestrator-for-amazon-ec2/welcome.html)