Digitális kriminalisztika és Windows 365 Enterprise felhőalapú számítógépek

A fizikai eszközökhöz hasonlóan Windows 365 Enterprise felhőalapú számítógépek is üzembe helyezhetők, védhetők és felügyelhetők Microsoft Intune használatával. A számítógép tulajdonjogának részeként a rendszer megkérheti, hogy küldje el a felhőbeli számítógépeket belső vagy harmadik feleknek a digitális kriminalisztikai műveletek elvégzéséhez. A digitális kriminalisztika olyan tudomány, amely a digitális adatok helyreállításával és vizsgálatával foglalkozik a bűnügyi nyomozások vagy polgári eljárások támogatása érdekében.

A törvényszéki vizsgálatok támogatásához a Windows 365 lehetővé teszi, hogy a felhőbeli pc-t felülvizsgálat alá helyezze. Ez a művelet biztonságosan menti a felhőbeli SZÁMÍTÓGÉP pillanatképét az ügyfél Azure Storage-fiókjába. Amikor átkerül az adott fiókba, az ügyfél teljes tulajdonjogával rendelkezik a pillanatképhez. A pillanatkép illetéktelen módosításának nyilvánvalóvá tétele érdekében az ügyfélnek létre kell hoznia a pillanatkép fájlkivonatát, amint a pillanatképet mentette az Azure Storage-fiókba.

A nyomozók csatolhatják a felhőalapú pc pillanatképének lemezmásolatait, és átvihetik azt egy, a kriminalisztikai elemzéshez dedikált biztonságos tárfiókba. Ez a folyamat az eredeti forrásként használt felhőalapú számítógép újbóli létrehozása, bekapcsolása vagy elérése nélkül is elvégezhető.

Forgatókönyvek

Előfordulhat, hogy felül kell vizsgálnia egy felhőalapú számítógépet az alábbi forgatókönyvek bármelyikéhez:

1. Egy belső biztonsági műveleti központ (SOC) csapatának kérése.
2. Válasz egy belső vagy külső külső könyvvizsgáló kérésére.
3. Válaszként egy folyamatban lévő vagy folyamatban lévő jogi vizsgálatra.

A digitális kriminalisztika szempontjai

A felhőbeli PC-n tárolt adatokra vonatkozó jogi kérésekre válaszul a rendszergazdáknak igazolniuk kell, hogy az általuk biztosított digitális bizonyítékok érvényes felügyeleti láncot (CoC) mutatnak a bizonyítékok beszerzésének, megőrzésének és hozzáférési folyamatának során. Ezért a rendszergazdáknak gondoskodniuk kell a megfelelő támogatásról:

• Hozzáférés-vezérlés. Az igényalapú hozzáférés-kezeléssel kapcsolatos további információkért lásd: Ajánlott eljárások az Azure RBAC-hez és a Privileged Identity Management használatának megkezdése.
• Adatvédelem és integritás. Csak a pillanatképet tartalmazó dedikált előfizetésben lévő virtuális hálózat rendelkezik hozzáféréssel a bizonyítékokat archiváló tárfiókhoz és kulcstartóhoz. További információ: Microsoft Purview ügyfélkulcs Windows 365 felhőalapú számítógépekhez
• Figyelés és riasztás. További információ: Riasztás emelt szintű Azure-beli szerepkör-hozzárendeléssel kapcsolatban
• Naplózás és naplózás, a feladatok elkülönítése. Csak a tárfiókhoz hozzáféréssel rendelkező rendszergazdák kis listája adhat ideiglenes hozzáférést a nyomozóknak (amelyeket rögzítettek és jóváhagytak) a bizonyítékokhoz.

Következő lépések

Helyezzen el egy felhőbeli pc-t felülvizsgálat alatt.

A Microsoft digitális vizsgálatokhoz való támogatásával kapcsolatos további információkért lásd: Számítógépes kriminalisztikai felügyeleti lánc az Azure-ban.