Análisis forense digital y equipos de Windows 365 Enterprise Cloud

Al igual que los dispositivos físicos, Windows 365 Enterprise equipos en la nube se pueden implementar, proteger y administrar mediante Microsoft Intune. Como parte de la propiedad de un equipo, es posible que se le pida que envíe equipos de Cloud a terceros o personal interno para realizar análisis forenses digitales. El análisis forense digital es la ciencia que aborda la recuperación y la investigación de datos digitales para apoyar investigaciones criminales o procedimientos civiles.

Para admitir estos análisis forenses, Windows 365 ofrece la capacidad de enviar un equipo de Cloud a revisión. Esta acción guardará de forma segura una instantánea del equipo de Cloud en la cuenta de Azure Storage del cliente. Cuando se transfiere a esa cuenta, el cliente tiene la propiedad completa de la instantánea. Para que la instantánea sea evidente, el cliente debe crear un hash de archivo de la instantánea en cuanto se haya guardado en la cuenta de Azure Storage.

Los investigadores pueden adjuntar copias de disco de la instantánea del equipo de Cloud y transferirla a una cuenta de almacenamiento segura dedicada al análisis forense. Este proceso se puede realizar sin tener que volver a crear o encender el equipo de Cloud de origen ni acceder a él.

Escenarios

Es posible que tenga enviar un equipo de Cloud a revisión en cualquiera de estos escenarios:

1. Una solicitud de un equipo interno del Centro de operaciones de seguridad (SOC).
2. Como respuesta a una solicitud de un auditor interno o externo.
3. Como respuesta a una investigación legal pendiente o en curso.

Consideraciones sobre el análisis forense digital

En respuesta a las solicitudes legales de datos almacenados en un equipo de Cloud, los administradores deben certificar que la evidencia digital que proporcionan demuestra una cadena de custodia (CoC) válida a lo largo del proceso de adquisición y conservación de la evidencia, y de acceso a ella. Por este motivo, los administradores deben asegurarse de otorgar un adecuado:

• Control de acceso. Para obtener más información sobre la administración de acceso Just-In-Time, consulte Procedimientos recomendados para RBAC de Azure y Empezar a usar Privileged Identity Management.
• Protección e integridad de datos. Solo la red virtual de la suscripción dedicada que contiene la instantánea tiene acceso a la cuenta de almacenamiento y al almacén de claves que archiva la evidencia. Para obtener más información, consulte Clave de cliente de Microsoft Purview para equipos en la nube de Windows 365
• Supervisión y alertas. Para obtener más información, consulte Alerta sobre la asignación de roles de Azure con privilegios.
• Registro y auditoría, separación de tareas. Solo la pequeña lista de administradores con acceso a la cuenta de almacenamiento puede conceder a los investigadores acceso temporal (que se registró y aprobó) a la evidencia.

Pasos siguientes

Envíe un equipo de Cloud a revisión.

Para obtener más información sobre el soporte técnico de Microsoft para las investigaciones digitales, consulte Cadena de custodia forense de equipos en Azure.