# SEC10-BP03 準備鑑識功能
<a name="sec_incident_response_prepare_forensic"></a>

 了解鑑識調查何時以及如何適合您的回應計劃，對於您的事故回應者而言很重要。您的組織應定義收集的證據以及過程中使用的工具。識別和準備適合的鑑識調查功能，包括外部專家、工具和自動化。您應該預先做出的關鍵決定是您是否將從即時系統中收集資料。如果系統關閉電源或重新啟動，某些資料 (例如易消逝性記憶體的內容或作用中的網路連線) 將會遺失。 

您的回應團隊可以結合 AWS Systems Manager Amazon EventBridge 和 AWS Lambda 等工具，在作業系統和 VPC 流量鏡像內自動運行鑑識工具，以取得網路封包擷取，來收集非持久性證據。使用自訂的鑑識工作站和可供回應者存取的工具，在專用安全帳戶中進行其他活動，例如日誌分析或分析磁碟映像。

定期將相關日誌傳送到提供高耐久性和完整性的資料存放區。回應者應該可以存取這些日誌。AWS 會提供數種工具，讓日誌調查更容昣進行，例如 Amazon Athena、Amazon OpenSearch Service (OpenSearch Service) 和 Amazon CloudWatch Logs Insights。此外，還會使用 Amazon Simple Storage Service (Amazon S3) 物件鎖定，安全地保留證據。此服務遵循 WORM (一次寫入-多次讀取) 模型，並防止物件在定義的期間遭到刪除或覆寫。由於鑑識調查技術需要專業培訓，您可能需要聘請外部專家。

 **若未建立此最佳實務，暴露的風險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  識別鑑識能力：研究組織的鑑識調查能力、可用的工具以及外部專家。 
+  [自動化事故回應和鑑識 ](https://youtu.be/f_EcwmmXkXk)

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [如何在 AWS 中將鑑識磁碟收集自動化](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)