啟動鑑識工作站
部分事件回應活動可能包括分析磁碟映像、檔案系統、RAM 傾印或事件涉及的其他成品。許多客戶建置了自訂的鑑識工作站,供其用來掛載任何受影響資料磁碟區的副本 (稱為 EBS 快照)。若要這麼做,請遵循下列基本步驟:
-
選擇可用作鑑識工作站的基本 Amazon Machine Image (AMI) (例如 Linux 或 Microsoft Windows)。
-
從該基本 AMI 啟動 Amazon EC2 執行個體。
-
加強作業系統、移除不必要的軟體套件,並設定相關的稽核和記錄機制。
-
安裝您偏好的開放原始碼或私有工具組,以及您需要的任何供應商軟體和套件。
-
停止 Amazon EC2 執行個體,並從已停止的執行個體建立新 AMI。
-
建立每週或每月的流程,使用最新的軟體修補程式來更新和重建 AMI。
使用 AMI 佈建鑑識系統後,您的事件回應團隊可以使用此範本建立新的 AMI,以便為每次調查啟動新的鑑識工作站。您可以預先設定將 AMI 作為 Amazon EC2 執行個體啟動的程序,來簡化部署過程。例如,您可以在文字檔案中建立所需鑑識基礎設施資源的範本,然後使用 AWS CloudFormation 將其部署到您的 AWS 帳戶中。
當資源可以透過範本快速部署時,訓練有素的鑑識專家就能在每次調查中使用新的鑑識工作站,而不是重複使用基礎設施。運用此程序,可以確保其他鑑識檢查不會交叉污染。
執行個體類型和位置
Amazon EC2 提供各式各樣的最佳化執行個體類型,以滿足不同的使用案例。執行個體類型由不同的 CPU、記憶體、儲存和聯網容量組合而成,讓您有靈活性可應用程式選擇適當的資源組合。許多執行個體類型都包括多種執行個體大小,讓您能夠根據目標工作負載的需求來擴展資源。對於事件回應執行個體,請遵循貴公司的 GRC 政策,從執行生產執行個體的網路中進行定位和區隔。
AWS 增強型聯網使用單一根目錄 I/O 虛擬化 (SR-IOV) 在支援的執行個體類型上提供高效能聯網功能。SR-IOV 是一種相較於傳統虛擬網路界面可提高 I/O 效能及降低 CPU 使用率的裝置虛擬化方式。增強聯網提供更高的頻寬、更高的每秒封包數 (PPS) 效能,以及一致較低的執行個體間延遲。使用增強型聯網無需額外收費。如需哪些執行個體類型支援 10 或 25 Gbps 網路速度以及其他進階功能的相關資訊,請參閲 Amazon EC2 執行個體類型
