取证与应急响应
云取证
别称: 云事件取证, SaaS 取证
定义
针对云端基础设施、应用与 SaaS 服务的取证调查,依赖云厂商 API、审计日志与短暂资源。
云取证将传统取证原则适配到多租户、弹性、API 驱动的环境。分析人员依赖云厂商审计日志(AWS CloudTrail、Azure Activity/Sign-in、Google Cloud Audit Logs)、控制平面事件、身份日志(Entra ID、Okta)、VPC 流日志与存储访问日志,并结合 EC2/Compute 实例或 Kubernetes 节点内部的证据。采集手段包括 EBS 与托管磁盘快照、对象存储导出,以及通过 SSM/AVML 在线获取实例内存。挑战包括责任共担边界、数据驻留、日志保留缺口及资源被快速删除。NIST IR 8006、ISO/IEC 27050 与 CSA 指南为 DFIR 团队提供可重复的流程。
示例
- 通过 CloudTrail 将 AWS 账号沦陷追溯到一把被窃 IAM 访问密钥。
- 为 Azure VM 磁盘拍快照,并通过 Run Command 在线获取内存用于分析。
相关术语
数字取证
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。
DFIR(数字取证与事件响应)
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。
Log Analysis
Log Analysis — definition coming soon.
云安全
用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。
Evidence Acquisition
Evidence Acquisition — definition coming soon.
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。