Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Otomatiskan respons insiden dan forensik
*Lucas Kauffman dan Tomek Jakubowski, Amazon Web Services*
## Ringkasan
Pola ini menyebarkan serangkaian proses yang menggunakan AWS Lambda fungsi untuk menyediakan hal-hal berikut:
+ Cara untuk memulai proses respons insiden dengan pengetahuan minimum
+ Proses otomatis dan berulang yang selaras dengan Panduan Respons *Insiden AWS Keamanan*
+ Pemisahan akun untuk mengoperasikan langkah-langkah otomatisasi, menyimpan artefak, dan menciptakan lingkungan forensik
Kerangka Respon Insiden Otomatis dan Forensik mengikuti proses forensik digital standar yang terdiri dari tahapan berikut:
1. Penahanan
1. Akuisisi
1. Pemeriksaan
1. Analisis
Anda dapat melakukan investigasi pada data statis (misalnya, memori yang diperoleh atau gambar disk) dan pada data dinamis yang hidup tetapi pada sistem yang terpisah.
Untuk detail selengkapnya, lihat bagian [Informasi tambahan](#automate-incident-response-and-forensics-additional).
## Prasyarat dan batasan
**Prasyarat**
+ Dua Akun AWS:
+ Akun keamanan, yang bisa menjadi akun yang sudah ada, tetapi lebih disukai baru
+ Akun forensik, sebaiknya yang baru
+ AWS Organizations mengatur
+ Di akun anggota Organizations:
+ Peran Amazon Elastic Compute Cloud (Amazon EC2) harus memiliki akses Dapatkan dan Daftar ke Amazon Simple Storage Service (Amazon S3) dan dapat diakses oleh. AWS Systems Manager Kami merekomendasikan menggunakan peran yang `AmazonSSMManagedInstanceCore` AWS dikelola. Perhatikan bahwa peran ini akan secara otomatis dilampirkan ke instans Amazon EC2 saat respons insiden dimulai. Setelah respons selesai, AWS Identity and Access Management (IAM) akan menghapus semua hak atas instance.
+ Titik akhir virtual private cloud (VPC) di akun AWS anggota dan di VPC Respons dan Analisis Insiden. Titik akhir tersebut adalah: S3 Gateway, EC2 Messages, SSM, dan SSM Messages.
+ AWS Command Line Interface (AWS CLI) diinstal pada instans Amazon EC2. Jika instans Amazon EC2 belum AWS CLI diinstal, akses internet akan diperlukan agar snapshot disk dan akuisisi memori berfungsi. Dalam hal ini, skrip akan menjangkau internet untuk mengunduh file AWS CLI instalasi dan akan menginstalnya pada instance.
**Batasan**
+ Kerangka kerja ini tidak bermaksud menghasilkan artefak yang dapat dianggap sebagai bukti elektronik, dapat diajukan di pengadilan.
+ Saat ini, pola ini hanya mendukung instance berbasis Linux yang berjalan pada arsitektur x86.
## Arsitektur
**Arsitektur target**
Selain akun anggota, lingkungan target terdiri dari dua akun utama: akun Keamanan dan akun Forensik. Dua akun digunakan karena alasan berikut:
+ Untuk memisahkannya dari akun pelanggan lain untuk mengurangi radius ledakan jika terjadi analisis forensik yang gagal
+ Untuk membantu memastikan isolasi dan perlindungan integritas artefak yang sedang dianalisis
+ Untuk menjaga kerahasiaan investigasi
+ Untuk menghindari situasi di mana pelaku ancaman mungkin telah menggunakan semua sumber daya yang segera tersedia untuk Anda yang disusupi Akun AWS dengan menekan kuota layanan sehingga mencegah Anda membuat instance Amazon EC2 untuk melakukan investigasi.
Selain itu, memiliki akun Keamanan dan Forensik yang terpisah memungkinkan untuk membuat peran terpisah — Responder untuk memperoleh bukti dan Investigator untuk menganalisisnya. Setiap peran akan memiliki akses ke akun terpisah.
Diagram berikut hanya menunjukkan interaksi antara akun. Rincian setiap akun ditampilkan dalam diagram berikutnya, dan diagram lengkap dilampirkan.
![\[Interaksi antara akun anggota, keamanan, dan forensik dan pengguna, internet, dan Slack.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/6ed33293-d198-4458-9e38-74f6d20629c9.png)
Diagram berikut menunjukkan akun anggota.
![\[Akun anggota dengan kunci AWS KMS, peran IAM, fungsi Lambda, titik akhir, VPC dengan dua instans EC2.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/464fcefa-1418-4c9e-9902-5050a76ba9b9.png)
1. Sebuah acara dikirim ke topik Slack Amazon Simple Notification Service (Amazon SNS).
Diagram berikut menunjukkan akun Keamanan.
![\[Akun keamanan dengan EC2 DdCopyInstance VPC respons insiden dan dengan modul memori LiME.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/89dda7a1-972a-403e-abf8-98fc422422b2.png)
2. Topik Amazon SNS di akun Keamanan memulai peristiwa Forensik.
Diagram berikut menunjukkan akun Forensik.
![\[Akun forensik dengan forensik dan instans EC2 korban, VPC Analisis, dan VPC Pemeliharaan.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/da3bcfcc-cdca-4875-ada5-6131e8b666bc.png)
Akun Keamanan adalah tempat dua AWS Step Functions alur kerja utama dibuat untuk memori dan akuisisi gambar disk. Setelah alur kerja berjalan, mereka mengakses akun anggota yang memiliki instans Amazon EC2 yang terlibat dalam insiden, dan mereka memulai serangkaian fungsi Lambda yang akan mengumpulkan dump memori atau dump disk. Artefak tersebut kemudian disimpan di akun Forensik.
Akun Forensik akan menyimpan artefak yang dikumpulkan oleh alur kerja Step Functions di bucket artefak Analisis Amazon S3. Akun Forensik juga akan memiliki pipeline Image Builder Amazon EC2 yang membangun Amazon Machine Image (AMI) dari instans Forensik. Saat ini, gambar didasarkan pada SANS SIFT Workstation.
Proses build menggunakan Maintenance VPC, yang memiliki konektivitas ke internet. Gambar tersebut nantinya dapat digunakan untuk memutar instans Amazon EC2 untuk analisis artefak yang dikumpulkan di VPC Analisis.
VPC Analisis tidak memiliki konektivitas internet. Secara default, pola menciptakan tiga subnet analisis pribadi. Anda dapat membuat hingga 200 subnet, yang merupakan kuota untuk jumlah subnet dalam VPC, tetapi titik akhir VPC perlu menambahkan subnet tersebut untuk mengotomatiskan perintah yang sedang berjalan di dalamnya. AWS Systems Manager Session Manager
Dari perspektif praktik terbaik, kami sarankan untuk menggunakan AWS CloudTrail dan AWS Config melakukan hal berikut:
+ Lacak perubahan yang dibuat di akun Forensik Anda
+ Memantau akses dan integritas artefak yang disimpan dan dianalisis
**Alur kerja**
Diagram berikut menunjukkan langkah-langkah kunci dari alur kerja yang mencakup proses dan pohon keputusan dari saat sebuah instance dikompromikan hingga dianalisis dan terkandung.
1. Apakah `SecurityIncidentStatus` tag telah disetel dengan nilai Analyze? Jika ya, lakukan hal berikut:
1. Lampirkan profil IAM yang benar untuk AWS Systems Manager dan Amazon S3.
1. Kirim pesan Amazon SNS ke antrian Amazon SNS di Slack.
1. Kirim pesan Amazon SNS ke antrian. ` SecurityIncident`
1. Memanggil mesin status Memori dan Disk Acquisition.
1. Apakah memori dan disk sudah diperoleh? Jika tidak, ada kesalahan.
1. Tandai instans Amazon EC2 dengan tag. `Contain`
1. Lampirkan peran IAM dan grup keamanan untuk sepenuhnya mengisolasi instance.
![\[Langkah-langkah alur kerja yang tercantum sebelumnya.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/7fc94597-d82d-4f6d-9c8b-5e0060010c53/images/b319bd9b-8cb4-4048-b5c8-6e39e72908b0.png)
**Otomatisasi dan skala**
Maksud dari pola ini adalah untuk memberikan solusi yang dapat diskalakan untuk melakukan respons insiden dan forensik di beberapa akun dalam satu organisasi. AWS Organizations
## Alat
**Layanan AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)membantu Anda menyiapkan AWS sumber daya, menyediakannya dengan cepat dan konsisten, dan mengelolanya sepanjang siklus hidupnya di seluruh Akun AWS dan Wilayah.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) adalah alat open source untuk berinteraksi dengan Layanan AWS melalui perintah di shell baris perintah Anda.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/index.html) membantu Anda membuat dan mengontrol kunci kriptografi untuk melindungi data Anda.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
+ [Amazon Simple Storage Service (Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)memberikan pandangan komprehensif tentang keadaan keamanan Anda di AWS. Ini juga membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)adalah layanan orkestrasi tanpa server yang membantu Anda menggabungkan AWS Lambda fungsi dan lainnya Layanan AWS untuk membangun aplikasi bisnis yang penting.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)membantu Anda mengelola aplikasi dan infrastruktur yang berjalan di AWS Cloud. Ini menyederhanakan aplikasi dan manajemen sumber daya, mempersingkat waktu untuk mendeteksi dan menyelesaikan masalah operasional, dan membantu Anda mengelola AWS sumber daya Anda dengan aman dalam skala besar.
**Kode**
Untuk kode dan panduan implementasi dan penggunaan spesifik, lihat repositori GitHub [Automated Incident Response and Forensics](https://github.com/awslabs/aws-automated-incident-response-and-forensics) Framework.
## Epik
### Menyebarkan template CloudFormation
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Menyebarkan CloudFormation template. | CloudFormation Template ditandai 1 hingga 7 dengan kata pertama dari nama skrip yang menunjukkan di akun mana template perlu digunakan. Perhatikan bahwa urutan peluncuran CloudFormation template itu penting.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)Untuk memulai kerangka respons insiden untuk instans Amazon EC2 tertentu, buat tag dengan `SecurityIncidentStatus` kunci dan nilainya. `Analyze` Ini akan memulai fungsi Lambda anggota yang secara otomatis akan memulai isolasi dan memori serta akuisisi disk. | Administrator AWS |
| Operasikan kerangka kerja. | Fungsi Lambda juga akan menandai ulang aset di akhir (atau saat gagal) dengan. `Contain` Ini memulai penahanan, yang sepenuhnya mengisolasi instance dengan grup tanpa INBOUND/OUTBOUND keamanan dan dengan peran IAM yang melarang semua akses.Ikuti langkah-langkah di [GitHub repositori](https://github.com/awslabs/aws-automated-incident-response-and-forensics#operating-the-incident-response-framework). | Administrator AWS |
### Menyebarkan tindakan CSPM Security Hub kustom
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Menerapkan tindakan CSPM Security Hub kustom dengan menggunakan template. CloudFormation | Untuk membuat tindakan kustom sehingga Anda dapat menggunakan daftar dropdown dari Security Hub CSPM, gunakan template. `Modules/SecurityHub Custom Actions/SecurityHubCustomActions.yaml` CloudFormation Kemudian ubah `IRAutomation` peran di setiap akun anggota untuk memungkinkan fungsi Lambda yang menjalankan tindakan untuk mengambil peran. `IRAutomation` Untuk informasi lebih lanjut, lihat [GitHub repositori](https://github.com/awslabs/aws-automated-incident-response-and-forensics#securityhub-actions). | Administrator AWS |
## Sumber daya terkait
+ [AWS Panduan Respons Insiden Keamanan](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
## Informasi tambahan
Dengan menggunakan lingkungan ini, tim Security Operations Center (SOC) dapat meningkatkan proses respons insiden keamanan mereka melalui hal-hal berikut:
+ Memiliki kemampuan untuk melakukan forensik di lingkungan yang terpisah untuk menghindari kompromi sumber daya produksi yang tidak disengaja
+ Memiliki proses standar, berulang, otomatis untuk melakukan penahanan dan analisis.
+ Memberikan pemilik akun atau administrator kemampuan untuk memulai proses respons insiden dengan pengetahuan minimal tentang cara menggunakan tag
+ Memiliki lingkungan yang terstandarisasi dan bersih untuk melakukan analisis insiden dan forensik tanpa kebisingan lingkungan yang lebih besar
+ Memiliki kemampuan untuk membuat beberapa lingkungan analisis secara paralel
+ Memfokuskan sumber daya SOC pada respons insiden, bukan pada pemeliharaan dan dokumentasi lingkungan forensik cloud
+ Beralih dari proses manual menuju proses otomatis untuk mencapai skalabilitas
+ Menggunakan CloudFormation template untuk konsistensi dan untuk menghindari tugas yang berulang
Selain itu, Anda menghindari penggunaan infrastruktur persisten, dan Anda membayar sumber daya saat Anda membutuhkannya.
## Lampiran
[Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip](samples/p-attach/7fc94597-d82d-4f6d-9c8b-5e0060010c53/attachments/attachment.zip)