Bu makalede, ekiplerin yasal isteklere yanıt olarak geçerli bir gözetim zincirini gösteren dijital kanıt sağlamasına yardımcı olmak için tasarlanmış bir altyapı ve iş akışı süreci özetlenmiştir. Bu makalede, kanıt edinme, koruma ve erişim aşamaları boyunca geçerli bir velayet zincirinin nasıl korunacakları açıklanmaktadır.
Not
Bu makale yazarların teorik ve pratik bilgilerini temel alır. Yasal amaçlarla kullanmadan önce hukuk departmanınızla uygulanabilirliğini doğrulayın.
Mimari
Mimari tasarımı, Azure için Bulut Benimseme Çerçevesi'nde Azure giriş bölgesi ilkelerini izler.
Bu senaryo, aşağıdaki diyagramda gösterilen merkez-uç ağ topolojisini kullanır:
Bu mimarinin bir Visio dosyasını indirin.
İş Akışı
Mimaride üretim sanal makineleri (VM) uç Azure sanal ağının bir parçasıdır. VM diskleri Azure Disk Şifrelemesi ile şifrelenir. Daha fazla bilgi için bkz . Yönetilen disk şifreleme seçeneklerine genel bakış. Üretim aboneliğinde Azure Key Vault VM'lerin BitLocker şifreleme anahtarlarını (BEK'ler) depolar.
Not
Senaryo, şifrelenmemiş diskleri olan üretim VM'lerini de destekler.
Güvenlik operasyonları merkezi (SOC) ekibi ayrı bir Azure SOC aboneliği kullanır. Ekibin bu aboneliğe özel erişimi vardır. Bu abonelik, korunması, izlenemez ve izlenmesi gereken kaynakları içerir. SOC aboneliğindeki Azure Depolama hesabı, sabit blob depolama disk anlık görüntülerinin kopyalarını barındırıyor. Ayrılmış anahtar kasası vm'lerdeki anlık görüntülerin ve BEK'lerin karma değerlerinin kopyalarını depolar.
BIR VM'nin dijital kanıtını yakalama isteğine yanıt olarak, SOC ekibinin bir üyesi Azure SOC aboneliğinde oturum açar ve Copy-VmDigitalEvidence runbook'u çalıştırmak için azure otomasyonu Azure karma runbook çalışanı vm kullanır.
Otomasyonu karma runbook çalışanı, yakalamaya dahil edilen tüm mekanizmaların denetimini sağlar.
Copy-VmDigitalEvidence runbook aşağıdaki makro adımlarını uygular:
Azure'da oturum açmak Otomasyon hesabı için sistem tarafından atanan yönetilen kimliği kullanın. Bu kimlik, hedef VM'nin kaynaklarına ve çözüm için gereken diğer Azure hizmetlerine erişim verir.
VM'nin işletim sisteminin (işletim sistemi) ve veri disklerinin disk anlık görüntülerini oluşturun.
Anlık görüntüleri hem SOC aboneliğinin sabit blob depolama alanına hem de geçici bir dosya paylaşımına aktarın.
Dosya paylaşımında depolanan kopyayı kullanarak anlık görüntülerin karma değerlerini hesaplayabilirsiniz.
Elde edilen karma değerleri ve VM'nin BEK'ini SOC anahtar kasasında depolayın.
Sabit blob depolamadaki kopya dışında anlık görüntülerin tüm kopyalarını kaldırın.
Not
Üretim VM'lerinin şifrelenmiş diskleri de anahtar şifreleme anahtarlarını (KEK' ler) kullanabilir.
dağıtım senaryosunda sağlanan Copy-VmDigitalEvidence runbook bu senaryoyu kapsamaz.
Bileşenler
Azure Otomasyonu sık, zaman alan ve hataya açık bulut yönetimi görevlerini otomatikleştirir. Kanıt bütünlüğünü sağlamaya yardımcı olmak için VM disk anlık görüntülerini yakalama ve aktarma işlemini otomatikleştirmek için kullanılır.
Depolama nesne, dosya, disk, kuyruk ve tablo depolamayı içeren bir bulut depolama çözümüdür. Kanıtı yok ve değiştirilemez durumda korumak için sabit blob depolamada disk anlık görüntülerini barındırıyor.
Azure Blob Depolama, çok büyük miktarlarda yapılandırılmamış verileri yöneten iyileştirilmiş bulut nesne depolaması sağlar. Disk anlık görüntülerini sabit bloblar olarak depolamak için iyileştirilmiş bulut nesne depolaması sağlar.
Azure Dosyalar, bulutta endüstri standardı Sunucu İleti Bloğu (SMB) protokolü, Ağ Dosya Sistemi (NFS) protokolü ve Azure Dosyalar REST API'si aracılığıyla erişilebilen tam olarak yönetilen dosya paylaşımları sağlar. Windows, Linux ve macOS'un bulut veya şirket içi dağıtımları aracılığıyla paylaşımları eşzamanlı olarak bağlayabilirsiniz. Ayrıca, veri kullanımı konumuna yakın hızlı erişim için Azure Dosya Eşitleme'yi kullanarak Windows Server'da dosya paylaşımlarını önbelleğe alabilirsiniz. Azure Dosyalar, disk anlık görüntülerinin karma değerlerini hesaplamak için geçici bir depo olarak kullanılır.
Key Vault, bulut uygulamalarının ve hizmetlerinin kullandığı şifreleme anahtarlarını ve diğer gizli dizileri korumanıza yardımcı olur. Güvenli erişim ve veri bütünlüğü sağlamaya yardımcı olmak üzere disk anlık görüntülerinin BEK'lerini ve karma değerlerini depolamak için Key Vault'ı kullanabilirsiniz.
Microsoft Entra ID , Azure ve diğer bulut uygulamalarına erişimi denetlemenize yardımcı olan bulut tabanlı bir kimlik hizmetidir. Güvenli kimlik yönetimi sağlamaya yardımcı olan Azure kaynaklarına erişimi denetlemek için kullanılır.
Azure İzleyici, kaynaklarınızın performansını ve kullanılabilirliğini en üst düzeye çıkarmanıza ve olası sorunları proaktif olarak belirlemenize yardımcı olarak büyük ölçekte işlemlerinizi destekler. Uyumluluk ve izleme amacıyla tüm ilgili olayları denetlemek için etkinlik günlüklerini arşivler.
Otomasyon
SOC ekibi, Copy-VmDigitalEvidence runbook'unu oluşturmak ve bakımını yapmak için bir Automation hesabı kullanır. Ekip, runbook'u uygulayan karma runbook çalışanlarını oluşturmak için Otomasyon'u da kullanır.
Karma runbook çalışanı
karma runbook çalışanı VM, Otomasyon hesabıyla tümleştirilir. SOC ekibi bu VM'yi yalnızca Copy-VmDigitalEvidence runbook'unu çalıştırmak için kullanır.
Karma runbook çalışanı VM'sini Depolama hesabına erişebilen bir alt ağa yerleştirmeniz gerekir. Depolama hesabının güvenlik duvarı izin listesi kurallarına karma runbook çalışanı VM alt a ekleyerek Depolama hesabına erişimi yapılandırın.
Bu VM'ye yalnızca bakım etkinlikleri için SOC ekip üyelerine erişim verin.
VM'nin kullandığı sanal ağı yalıtmak için sanal ağı hub'a bağlamaktan kaçının.
Karma runbook çalışanı, hedef VM'nin kaynaklarına ve çözümün gerektirdiği diğer Azure hizmetlerine erişmek için Otomasyonu sistem tarafından atanan yönetilen kimlik kullanır.
Sistem tarafından atanan yönetilen kimlik için gereken en düşük rol tabanlı erişim denetimi (RBAC) izinleri iki kategoriye ayrılır:
- Çözüm temel bileşenlerini içeren SOC Azure mimarisine erişim izinleri
- Hedef VM kaynaklarını içeren hedef mimariye erişim izinleri
SOC Azure mimarisine erişim aşağıdaki rolleri içerir:
- SOC sabit Depolama hesabı üzerinde Depolama Hesabı Katılımcısı
- BEK yönetimi için SOC anahtar kasasında Key Vault Gizli Dizileri Yetkilisi
Hedef mimariye erişim aşağıdaki rolleri içerir:
VM disklerinde anlık görüntü hakları sağlayan, hedef VM kaynak grubu üzerinde Katılımcı
Key Vault Gizli DiziLeri Yetkilisi, hedef VM'nin BEK'i depolamak için kullanılan anahtar kasasında, yalnızca Key Vault erişimini denetlemek için RBAC kullanılıyorsa
Hedef VM'nin BEK'i depolamak için kullanılan anahtar kasasında Gizli Dizi alma için erişim ilkesi, yalnızca Key Vault erişimini denetlemek için erişim ilkesi kullanılıyorsa
Not
BEK'i okumak için hedef VM'nin anahtar kasasına karma runbook çalışan VM'sinden erişilebilir olmalıdır. Anahtar kasasının güvenlik duvarı etkinleştirildiyse, karma runbook çalışan VM'sinin genel IP adresine güvenlik duvarı üzerinden izin verilenden emin olun.
Depolama hesabı
SOC aboneliğinde Depolama hesabı, disk anlık görüntülerini Azure sabit blob depolaması olarak yasal tutma ilkesiyle yapılandırılmış bir kapsayıcıda barındırır. Sabit blob depolama, iş açısından kritik veri nesnelerini bir kez yazma, birçok okuma (WORM) durumunda depolar. WORM durumu, verileri kullanıcı tarafından belirtilen bir aralık için kullanılamaz ve düzenlenemez hale getirir.
güvenli aktarım etkinleştirdiğinizden ve depolama güvenlik duvarı özelliklerini emin olun. Güvenlik duvarı yalnızca SOC sanal ağından erişim verir.
Depolama hesabı ayrıca anlık görüntünün karma değerini hesaplamak için kullanılan geçici bir depo olarak bir Azure dosya paylaşımı barındırıyor.
Key Vault
SOC aboneliğinin, Azure Disk Şifrelemesi hedef VM'yi korumak için kullandığı BEK'in bir kopyasını barındıran kendi Key Vault örneği vardır. Birincil kopya, hedef VM'nin kullandığı anahtar kasasında depolanır. Bu kurulum, hedef VM'nin kesinti olmadan normal işlemlere devam etmesini sağlar.
SOC anahtar kasası, karma runbook çalışanının yakalama işlemleri sırasında hesap yaptığı disk anlık görüntülerinin karma değerlerini de depolar.
Anahtar kasasında güvenlik duvarı etkinleştirildiğinden emin olun. Yalnızca SOC sanal ağından erişim vermelidir.
Log Analytics
Log Analytics çalışma alanı, SOC aboneliğindeki tüm ilgili olayları denetlemek için kullanılan etkinlik günlüklerini depolar. Log Analytics, İzleyici'nin bir özelliğidir.
Senaryo ayrıntıları
Dijital adli araştırmalar, suç araştırmalarını veya sivil takibatları destekleyen dijital verilerin kurtarılmasına ve araştırılmasına yönelik bir bilimdir. Bilgisayar adli tıp, bilgisayarlardan, VM'lerden ve dijital depolama medyasından verileri yakalayan ve analiz eden bir dijital adli tıp dalıdır.
Şirketler, yasal taleplere yanıt olarak sağladıkları dijital kanıtın kanıt edinme, koruma ve erişim aşamaları boyunca geçerli bir gözetim zinciri gösterdiğini garanti etmelidir.
Olası kullanım örnekleri
Bir şirketin SOC ekibi, dijital kanıt için geçerli bir gözetim zincirini desteklemek üzere bu teknik çözümü uygulayabilir.
Araştırmacılar, adli analize ayrılmış bir bilgisayarda bu tekniği kullanarak elde edilen disk kopyalarını ekleyebilir. Disk kopyalarını açmadan veya özgün kaynak VM'ye erişmeden ekleyebilirler.
Velayet zinciri mevzuat uyumluluğu
Önerilen çözümün bir mevzuat uyumluluğu doğrulama sürecine gönderilmesi gerekiyorsa, gözetim zinciri çözümü doğrulama işlemi sırasında önemli noktalar bölümündeki malzemeleri göz önünde bulundurun.
Not
Doğrulama işlemine hukuk departmanınızı dahil etmelisiniz.
Dikkat edilmesi gereken noktalar
Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanabileceğiniz bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz. Well-Architected Framework.
Bu çözümü bir velayet zinciri olarak doğrulayan ilkeler bu bölümde açıklanmıştır. Geçerli bir gözetim zincirinin sağlanmasına yardımcı olmak için dijital kanıt depolamanın yeterli erişim denetimi, veri koruma ve bütünlük, izleme ve uyarı ile günlüğe kaydetme ve denetlemeyi göstermesi gerekir.
Güvenlik standartları ve düzenlemeleri ile uyumluluk
Bir gözetim zinciri çözümünü doğruladığınızda, değerlendirmeniz gereken gereksinimlerden biri güvenlik standartlarına ve düzenlemelerine uyumdur.
mimarisine dahil edilen tüm bileşenler, güven, güvenlik ve uyumlulukdestekleyen bir temel üzerine oluşturulmuş Azure standart hizmetleridir.
Azure, ülkelere veya bölgelere göre uyarlanmış sertifikalar ve sağlık, kamu, finans ve eğitim gibi önemli sektörler için de dahil olmak üzere çok çeşitli uyumluluk sertifikaları içerir.
Bu çözümde kullanılan hizmetler için standart uyumluluğunu ayrıntılandıran güncelleştirilmiş denetim raporları hakkında daha fazla bilgi için bkz. Hizmet Güveni Portalı.
cohasset'in Azure Depolama uyumluluk değerlendirmesi aşağıdaki gereksinimler hakkında ayrıntılı bilgi sağlar:
Borsa üyelerini, aracıları veya bayileri düzenleyen 17 CFR § 240.17a-4(f) cinsinden Menkul Kıymetler ve Borsa Komisyonu (SEC).
SEC Kural 17a-4(f) biçimini ve medya gereksinimlerini saptıran Finansal Endüstri Düzenleme Kurumu (FINRA) Kural 4511(c).
Emtia Vadeli İşlem Komisyonu (CFTC) tüzüğünde 17 CFR § 1.31(c)-(d), emtia vadeli işlem düzenleyen.
Cohasset'in görüşüne göre Azure Depolama, Blob Depolama ve ilke kilidi seçeneğinin sabit depolama özelliğiyle, zaman tabanlı blobları (veya kayıtları) yok ve yazılamaz biçimde tutar ve SEC Kuralı 17a-4(f), FINRA Kuralı 4511(c) ve CFTC Kuralı 1.31(c)-(d) ilke tabanlı gereksinimlerinin ilgili depolama gereksinimlerini karşılar.
En az ayrıcalık
SOC ekibinin rolleri atandığında, ekipteki yalnızca iki kişi (SOC ekibi koruyucuları olarak bilinir), aboneliğin ve verilerinin RBAC yapılandırmasını değiştirme haklarına sahip olmalıdır. Diğer kişilere yalnızca işlerini yapmaları için ihtiyaç duydukları veri alt kümelerine en düşük erişim haklarını verin.
En az erişim
Yalnızca SOC aboneliğindeki sanal ağın, kanıtı arşivleyen SOC Depolama hesabına ve anahtar kasasına erişimi vardır. Yetkili SOC ekip üyeleri, araştırmacılara SOC depolamadaki kanıtlara geçici erişim verebilir.
Kanıt edinimi
Azure denetim günlükleri, VM disk anlık görüntüsü alma eylemini kaydederek kanıt alımını belgeleyebilir. Günlükler anlık görüntüleri kimin aldığı ve ne zaman alındığı gibi ayrıntıları içerir.
Kanıt bütünlüğü
kanıtı insan müdahalesi olmadan son arşiv hedefine taşımak için Automation kullanın. Bu yaklaşım, kanıt yapıtlarının değişmeden kalmasını garantiye yardımcı olur.
Hedef depolama alanına yasal saklama ilkesi uyguladığınızda, kanıt yazıldığında hemen dondurulur. Yasal tutma, gözetim zincirinin Azure'da tamamen korunduğunu gösterir. Ayrıca, disk görüntülerinin canlı bir VM'de bulunduğu zamandan depolama hesabında kanıt olarak depolandığı zamana kadar kanıt üzerinde oynama fırsatı olmadığını gösterir.
Son olarak, disk görüntülerinin karma değerlerini hesaplamak için sağlanan çözümü bir bütünlük mekanizması olarak kullanabilirsiniz. Desteklenen karma algoritmalar MD5, SHA256, SKEIN ve KECCAK 'tır (veya SHA3).
Kanıt üretimi
Araştırmacıların analiz yapabilmeleri için kanıta erişmeleri gerekiyor. Bu erişim izlenmeli ve açıkça yetkilendirilmelidir.
Araştırmacılara kanıta erişmek için paylaşılan erişim imzaları (SAS) tekdüzen kaynak tanımlayıcısı (URI) depolama anahtarı sağlayın. SAS URI'leri oluşturulduğunda ilgili günlük bilgilerini oluşturabilir. SAS her kullanıldığında kanıtın bir kopyasını alabilirsiniz.
Örneğin, bir hukuk ekibinin korunan bir sanal sabit sürücüyü aktarması gerekiyorsa, iki SOC ekibi koruyucusunun biri sekiz saat sonra süresi dolan salt okunur bir SAS URI anahtarı oluşturur. SAS, belirtilen bir zaman dilimi içinde araştırmacılara erişimi kısıtlar.
SOC ekibi, erişim gerektiren araştırmacıların IP adreslerini depolama güvenlik duvarındaki izin verilenler listesine açıkça yerleştirmelidir.
Son olarak, araştırmacıların şifrelenmiş disk kopyalarına erişmek için SOC anahtar kasasında arşivlenen BEK'lere ihtiyacı vardır. SOC ekip üyesi, BEK'leri ayıklamalı ve araştırmacılara güvenli kanallar aracılığıyla sağlamalıdır.
Bölgesel depolama
Uyumluluk için bazı standartlar veya düzenlemeler kanıt ve destekleyici altyapının aynı Azure bölgesinde tutulmasını gerektirir.
Kanıt arşivleyen Depolama hesabı da dahil olmak üzere tüm çözüm bileşenleri, araştırılan sistemlerle aynı Azure bölgesinde barındırılır.
Operasyonel Mükemmellik
Operasyonel Mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel Mükemmellik için tasarım gözden geçirme denetim listesi.
İzleme ve uyarı
Azure, tüm müşterilere abonelikleri ve kaynaklarıyla ilgili anomalileri izleme ve uyarı verme hizmetleri sağlar. Bu hizmetlerden bazıları:
- Microsoft Sentinel.
- Bulut için Microsoft Defender.
- Depolama için Microsoft Defender .
Not
Bu hizmetlerin yapılandırması bu makalede açıklanmıştır.
Bu senaryoyu dağıtın
Bu senaryoyu laboratuvar ortamında derlemek ve dağıtmak için gözetim laboratuvarı dağıtım zinciri yönergeleri izleyin.
Laboratuvar ortamı, bu makalede açıklanan mimarinin basitleştirilmiş bir sürümünü temsil eder. Aynı abonelik içinde iki kaynak grubu dağıtırsınız. İlk kaynak grubu üretim ortamının simülasyonunu yaparken dijital kanıt barındırırken ikinci kaynak grubu SOC ortamını barındırıyor.
Üretim ortamında yalnızca SOC kaynak grubunu dağıtmak için azure dağıt'ı seçin.
Not
Çözümü bir üretim ortamında dağıtırsanız Otomasyon hesabının sistem tarafından atanan yönetilen kimliğinin aşağıdaki izinlere sahip olduğundan emin olun:
- İşlenecek VM'nin üretim kaynak grubundaki Katkıda Bulunan. Bu rol anlık görüntüleri oluşturur.
- BEK'leri barındıran üretim anahtarı kasasında Bir Key Vault Gizli Dizi Kullanıcısı. Bu rol, BEK'leri okur.
Anahtar kasasında güvenlik duvarı etkinleştirildiyse, karma runbook çalışan VM'sinin genel IP adresine güvenlik duvarı üzerinden izin verildiğinden emin olun.
Genişletilmiş yapılandırma
Şirket içinde veya farklı bulut ortamlarında karma runbook çalışanı dağıtabilirsiniz.
Bu senaryoda, Copy‑VmDigitalEvidence runbook'unu özelleştirerek farklı hedef ortamlarda kanıt yakalamayı ve bunları depolama alanında arşivlemelisiniz.
Not
Copy-VmDigitalEvidence Bu senaryoyu dağıt bölümünde sağlanan runbook yalnızca Azure'da geliştirilmiş ve test edilmiştir. Çözümü diğer platformlara genişletmek için runbook'u bu platformlarla çalışacak şekilde özelleştirmeniz gerekir.
Katkıda Bulunanlar
Microsoft bu makaleyi korur. Bu makaleyi aşağıdaki katkıda bulunanlar yazdı.
Asıl yazarlar:
- Fabio Masciotra | Baş Danışman
- Simone Savi | Kıdemli Danışman
Nonpublic LinkedIn profillerini görmek için LinkedIn'de oturum açın.
Sonraki adımlar
Azure veri koruma özellikleri hakkında daha fazla bilgi için bkz.
- Bekleyen veriler için depolama şifrelemesini
- Yönetilen disk şifreleme seçeneklerine genel bakış
- WORM durumunda sabit depolama ile iş açısından kritik blob verilerini depolama
Azure günlüğe kaydetme ve denetleme özellikleri hakkında daha fazla bilgi için bkz.
- Azure güvenliğini günlüğe kaydetme ve denetleme
- depolama analizi günlüğe kaydetme
- Azure kaynak günlüklerini Log Analytics çalışma alanlarına, Event Hubs'a veya Depolama gönderme
Microsoft Azure uyumluluğu hakkında daha fazla bilgi için bkz:
- Azure uyumluluğu
- Microsoft uyumluluk teklifleri