Criminalistique numérique et PC Windows 365 Enterprise Cloud
Tout comme les appareils physiques, les PC Windows 365 Entreprise cloud peuvent être déployés, sécurisés et gérés à l’aide de Microsoft Intune. Dans le cadre de la propriété du PC, vous pouvez être invité à soumettre des PC cloud à des tiers ou internes pour effectuer des investigations numériques. La médecine légale numérique est la science qui traite de la récupération et de l’investigation des données numériques pour soutenir les enquêtes criminelles ou les procédures civiles.
Pour prendre en charge ces investigations, Windows 365 offre la possibilité de passer en revue un PC cloud. Cette action enregistre en toute sécurité un instantané du PC cloud dans le compte de stockage Azure du client. Lorsqu’il est transféré vers ce compte, le client est entièrement propriétaire de l’instantané. Pour rendre la instantané inviolable, le client doit créer un hachage de fichier du instantané dès que le instantané a été enregistré dans le compte de stockage Azure.
Les enquêteurs peuvent attacher des copies de disque de l’instantané de PC Cloud et le transférer vers un compte de stockage sécurisé dédié à l’analyse légale. Ce processus peut être effectué sans recréer, mettre sous tension ou accéder au PC cloud source d’origine.
Scénarios
Vous devrez peut-être passer en revue un PC cloud pour l’un des scénarios suivants :
- Demande d’une équipe interne du Centre d’opérations de sécurité (SOC).
- Réponse à une demande d’un auditeur interne ou externe tiers.
- En réponse à une enquête judiciaire en attente ou en cours.
Considérations relatives à la médecine légale numérique
En réponse aux demandes légales de données stockées sur un PC cloud, les administrateurs doivent attester que les preuves numériques qu’ils fournissent illustrent une chaîne de garde valide tout au long du processus d’acquisition, de conservation et d’accès des preuves. Pour cette raison, les administrateurs doivent s’assurer de prendre en charge adéquatement :
- Contrôle d’accès. Pour plus d’informations sur la gestion de l’accès juste-à-temps, consultez Meilleures pratiques pour Azure RBAC et Commencer à utiliser Privileged Identity Management.
- Protection et intégrité des données. Seul le réseau virtuel de l’abonnement dédié contenant l’instantané a accès au compte de stockage et au coffre de clés qui archive les preuves. Pour plus d’informations, consultez Clé client Microsoft Purview pour les PC Windows 365 Cloud.
- Surveillance et génération d’alertes. Pour plus d’informations, consultez Alerte sur l’attribution de rôle Azure privilégié.
- Journalisation et audit, séparation des tâches. Seule la petite liste d’administrateurs ayant accès au compte de stockage peut accorder aux enquêteurs un accès temporaire (qui a été enregistré et approuvé) à la preuve.
Prochaines étapes
Pour plus d’informations sur la prise en charge des enquêtes numériques par Microsoft, consultez la chaîne de garde en investigation informatique dans Azure.