# SEC10-BP03 準備鑑識功能
<a name="sec_incident_response_prepare_forensic"></a>

在安全事件發生之前，將開發鑑識功能納入考量，以協助安全事件調查。

 **未建立此最佳實務時的曝險等級：**中 

 傳統內部部署鑑識的概念適用於 AWS。如需開始在 AWS 雲端 中建置鑑識功能的重要資訊，請參閱 [AWS 雲端 中的鑑識調查環境策略](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)。

 設定鑑識的環境和 AWS 帳戶 結構後，請定義在四個階段有效執行合理鑑識方法所需的技術：
+  **收集：**收集相關 AWS 日誌，例如 AWS CloudTrail、AWS Config、VPC 流程日誌和主機層級日誌。收集受影響 AWS 資源的快照、備份和記憶體傾印 (如果有的話)。
+  **檢查：**檢查透過擷取和評估相關資訊所收集的資料。
+  **分析：**分析收集的資料，以了解事件並從中得出結論。
+  **報告：**呈現分析階段所產生的資訊。

## 實作步驟
<a name="implementation-steps"></a>

 **準備鑑識環境** 

 [AWS Organizations](https://aws.amazon.com/organizations/) 可協助您隨著 AWS 資源的成長和擴展，集中管理和控管 AWS 環境。AWS 組織會合併 AWS 帳戶，以便您可以將其當作一個單位進行管理。您可以使用組織單位 (OU) 將帳戶群組在一起，以單一單位的形式進行管理。

 如需事件回應，建議您建立可支援事件回應功能的 AWS 帳戶 結構，其中包括*安全性 OU* 和*鑑識 OU*。在安全性 OU 中，您應該擁有下列項目的帳戶：
+  **日誌存檔：**使用有限的許可彙總日誌存檔 AWS 帳戶 中的日誌。
+  **安全性工具：**將安全性服務集中在安全工具 AWS 帳戶 中。此帳戶會以安全性服務的委派系統管理員身分運作。

 在鑑識 OU 中，您可以選擇為營運所在的每個區域實作一或多個鑑識帳戶，具體視哪個區域最適合您業務和營運模式而定。如果您為每個區域建立鑑識帳戶，則可以防止該區域以外的 AWS 資源建立，並降低將資源複製到非預期區域的風險。例如，如果您只在美國東部 (維吉尼亞北部) 區域 (`us-east-1`) 和美國西部 (奧勒岡) (`us-west-2`) 進行營運，則鑑識 OU 中會有兩個帳戶：一個用於 `us-east-1`，另一個用於 `us-west-2`。

 您可以為多個區域建立鑑識 AWS 帳戶。您在將 AWS 資源複製到該帳戶時應小心，以確認是否符合資料主權要求。佈建新帳戶需要一些時間，因此必須在事件之前建立和檢測鑑識帳戶，以便回應者能夠有效地使用這些帳戶進行回應。

 下圖顯示範例帳戶結構，包括具有每個區域鑑識帳戶的鑑識 OU：

![\[流程圖顯示事件回應的每個區域帳戶結構，分為安全性和鑑識 OU。\]](http://docs.aws.amazon.com/zh_tw/wellarchitected/latest/security-pillar/images/region-account-structure.png)


 **擷取備份和快照** 

 設定重要系統和資料庫的備份，對於從安全事件中復原和鑑識用途非常重要。備份就緒後，您可以將系統還原到先前的安全狀態。您可以在 AWS 上拍攝各種資源的快照。快照可為您提供那些資源的時間點備份。有許多 AWS 服務，可以在備份和復原方面為您提供支援。如需有關這些備份和復原之服務和方法的詳細資訊，請參閱[備份和復原方案指引](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html)和[使用備份從安全事件中復原](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/)。

 尤其是當涉及勒索軟體等情況時，務必確保備份是否有充足的保護。如需有關保護備份的指引，請參閱[在 AWS 中保護備份的 10 大安全最佳實務](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/)。除了確保備份的安全之外，您還應該定期測試備份和還原程序，以確認您現有的技術和程序是否如預期般運作。

 **自動化鑑識** 

 在安全事件期間，事件回應團隊必須能夠快速收集和分析證據，同時維持事件周圍期間的準確性 (例如擷取與特定事件或資源相關的日誌，或收集 Amazon EC2 執行個體的記憶體傾印)。事件回應團隊手動收集相關證據既具挑戰性又耗時，尤其是範圍遍及大量執行個體和帳戶時。此外，手動收集可能容易出現人為錯誤。基於這些原因，您應盡可能開發和實作鑑識的自動化。

 AWS 為鑑識提供許多自動化資源，內容列於以下的資源區段。這些資源是我們已開發和客戶已實作的鑑識模式範例。雖然這些範例在一開始可能是有用的參考架構，但請根據環境、需求、工具和鑑識程序，考慮是否加以修改或建立新的鑑識自動化模式。

## 資源
<a name="resources"></a>

 **相關文件：**
+ [AWS 安全事件回應指南 - 開發鑑識功能](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-forensics-capabilities.html)
+ [AWS 安全事件回應指南 - 鑑識資源](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/appendix-b-incident-response-resources.html#forensic-resources)
+ [AWS 雲端 中的鑑識調查環境策略](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/)
+  [如何在 AWS 中自動化鑑識磁碟收集](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/) 
+ [AWS 方案指引 - 自動化事件回應和鑑識](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automate-incident-response-and-forensics.html)

 **相關影片：**
+ [ 自動化事件回應和鑑識](https://www.youtube.com/watch?v=f_EcwmmXkXk)

 **相關範例：**
+ [ 自動化事件回應和鑑識架構](https://github.com/awslabs/aws-automated-incident-response-and-forensics)
+ [ Amazon EC2 的自動化鑑識協調器](https://docs.aws.amazon.com/solutions/latest/automated-forensics-orchestrator-for-amazon-ec2/welcome.html)