Цифровая экспертиза и облачные компьютеры с Windows 365 Корпоративная
Как и физические устройства, облачные компьютеры Windows 365 Корпоративная можно развертывать, защищать и управлять ими с помощью Microsoft Intune. В рамках владения компьютером вам может потребоваться передать облачные компьютеры внутренним или третьим лицам для проведения цифровой экспертизы. Цифровая экспертиза — это наука, которая занимается восстановлением и исследованием цифровых данных для поддержки уголовных расследований или гражданского судопроизводства.
Для поддержки такой экспертизы Windows 365 предлагает возможность помещения облачного компьютера на проверку. Это действие безопасно сохранит моментальный снимок облачного компьютера в учетной записи хранения Azure клиента. После переноса на эту учетную запись клиент полностью владеет моментальным снимком. Чтобы snapshot было очевидно, клиент должен создать хэш файла snapshot сразу после сохранения snapshot в учетной записи хранения Azure.
Следователи могут прикреплять дисковые копии моментального снимка Cloud PC и передавать его в защищенную учетную запись хранения, предназначенную для экспертного анализа. Этот процесс можно выполнить без повторного создания, включения или доступа к исходному облачному компьютеру.
Сценарии
Вам может потребоваться поместить облачный компьютер на проверку для любого из следующих сценариев:
- Запрос от команды внутреннего центра управления безопасностью (SOC).
- Ответ на запрос внутреннего или внешнего аудитора третьей стороны.
- В ответ на начатое или продолжающееся судебное расследование.
Рекомендация цифровой экспертизы
В ответ на юридические запросы на данные, хранящиеся на облачном компьютере, администраторы должны подтвердить, что предоставляемые ими цифровые доказательства демонстрируют действительную цепочку хранения (CoC) на протяжении всего процесса сбора, сохранения и доступа к доказательствам. По этой причине администраторы должны обеспечить адекватную поддержку:
- Управление доступом. Дополнительные сведения об управлении JIT-доступом см. в разделах Рекомендации по Azure RBAC и Начало использования управление привилегированными пользователями.
- Защита и целостность данных. Только виртуальная сеть в выделенной подписке, содержащая snapshot, имеет доступ к учетной записи хранения и хранилищу ключей, которое архивирует доказательства. Дополнительные сведения см. в статье Ключ клиента Microsoft Purview для Windows 365 облачных компьютеров.
- Мониторинг и оповещение. Дополнительные сведения см. в статье Оповещение о назначении привилегированных ролей Azure.
- Ведение журнала и аудит, разделение обязанностей. Только небольшой список администраторов с доступом к учетной записи хранения может предоставить следователям временный доступ (который был записан и утвержден) к доказательствам.
Дальнейшие действия
Поместить облачный компьютер на проверку.
Дополнительные сведения о поддержке цифровых расследований корпорацией Майкрософт см. в статье Цепочка хранения компьютерной криминалистики в Azure.