Entry № 209
云取证
云取证 是什么?
云取证针对云端基础设施、应用与 SaaS 服务的取证调查,依赖云厂商 API、审计日志与短暂资源。
云取证将传统取证原则适配到多租户、弹性、API 驱动的环境。分析人员依赖云厂商审计日志(AWS CloudTrail、Azure Activity/Sign-in、Google Cloud Audit Logs)、控制平面事件、身份日志(Entra ID、Okta)、VPC 流日志与存储访问日志,并结合 EC2/Compute 实例或 Kubernetes 节点内部的证据。采集手段包括 EBS 与托管磁盘快照、对象存储导出,以及通过 SSM/AVML 在线获取实例内存。挑战包括责任共担边界、数据驻留、日志保留缺口及资源被快速删除。NIST IR 8006、ISO/IEC 27050 与 CSA 指南为 DFIR 团队提供可重复的流程。
● 示例
- 01
通过 CloudTrail 将 AWS 账号沦陷追溯到一把被窃 IAM 访问密钥。
- 02
为 Azure VM 磁盘拍快照,并通过 Run Command 在线获取内存用于分析。
● 常见问题
云取证 是什么?
针对云端基础设施、应用与 SaaS 服务的取证调查,依赖云厂商 API、审计日志与短暂资源。 它属于网络安全的 取证与应急响应 分类。
云取证 是什么意思?
针对云端基础设施、应用与 SaaS 服务的取证调查,依赖云厂商 API、审计日志与短暂资源。
如何防御 云取证?
针对 云取证 的防御通常结合技术控制与运营实践,详见上方完整定义。
云取证 还有哪些其他名称?
常见的别称包括: 云事件取证, SaaS 取证。