تحرير

مشاركة عبر

سلسلة التحاليل الجنائية الحاسوبية في Azure

Azure Automation
Azure Disk Encryption
Azure Key Vault
Azure Storage Accounts

توضح هذه المقالة البنية الأساسية وعملية سير العمل لمساعدة الفرق على تقديم أدلة رقمية توضح سلسلة صالحة من الاحتجاز (CoC) استجابة للطلبات القانونية. توجه هذه المناقشة CoC صالحا خلال عمليات الحصول على الأدلة وحفظها والوصول إليها.

إشعار

وتستند هذه المادة إلى المعرفة النظرية والعملية للمؤلفين. قبل استخدامه لأغراض قانونية، تحقق من إمكانية تطبيقه مع قسمك القانوني.

بناء الأنظمة

يتبع تصميم البنية مبادئ منطقة هبوط Azure الموضحة في Cloud Adoption Framework ل Azure.

يستخدم هذا السيناريو مخطط شبكة النظام المحوري كما هو موضح في الرسم التخطيطي التالي:

رسم تخطيطي يوضح بنية سلسلة الحضانة.

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

في البنية، الأجهزة الظاهرية للإنتاج (VMs) هي جزء من شبكة Azure الظاهرية المحورية. يتم تشفير أقراصهم باستخدام تشفير قرص Azure. لمزيد من المعلومات، راجع نظرة عامة على خيارات تشفير القرص المدارة. في اشتراك الإنتاج، يخزن Azure Key Vault مفاتيح تشفير BitLocker الخاصة بالأجهزة الظاهرية (BEKs).

إشعار

يعمل السيناريو لأجهزة الإنتاج الظاهرية مع الأقراص غير المشفرة.

يستخدم فريق عناصر تحكم النظام والمؤسسة (SOC) اشتراك Azure SOC منفصل. يتمتع الفريق بإمكانية الوصول الحصري إلى هذا الاشتراك، والذي يحتوي على الموارد التي يجب الاحتفاظ بها محمية وغير قابلة للحرمة ومراقبتها. يستضيف حساب تخزين Azure في اشتراك SOC نسخا من لقطات القرص في تخزين كائن ثنائي كبير الحجم غير قابل للتغيير، ويحتفظ مخزن مفاتيح مخصص بقيم تجزئة اللقطات ونسخ من BEKs الخاصة بالأجهزة الظاهرية.

استجابة لطلب التقاط الأدلة الرقمية للجهاز الظاهري، يقوم عضو فريق SOC بتسجيل الدخول إلى اشتراك Azure SOC ويستخدم جهازا ظاهريا لعامل دفتر التشغيل المختلط Azure في التنفيذ التلقائي لتنفيذ سجل تشغيل Copy-VmDigitalEvidence. يوفر عامل دفتر التشغيل المختلط التنفيذ التلقائي التحكم في جميع الآليات المتضمنة في الالتقاط.

يقوم دفتر تشغيل Copy-VmDigitalEvidence بتنفيذ خطوات الماكرو التالية:

  1. سجل الدخول إلى Azure باستخدام الهوية المدارة المعينة من قبل النظام لحساب التنفيذ التلقائي للوصول إلى موارد الجهاز الظاهري الهدف وخدمات Azure الأخرى التي يتطلبها الحل.
  2. إنشاء لقطات القرص لنظام تشغيل الجهاز الظاهري (OS) وأقراص البيانات.
  3. انسخ اللقطات إلى تخزين الكائن الثنائي كبير الحجم غير القابل للتغيير لاشتراك SOC، وفي مشاركة ملف مؤقتة.
  4. حساب قيم التجزئة للقطات باستخدام النسخة على مشاركة الملف.
  5. انسخ قيم التجزئة التي تم الحصول عليها و BEK الخاص بالجهاز الظاهري في مخزن مفاتيح SOC.
  6. قم بتنظيف جميع نسخ اللقطات باستثناء النسخة الموجودة في تخزين blob غير القابل للتغيير.

إشعار

يمكن للأقراص المشفرة للأجهزة الظاهرية للإنتاج أيضا استخدام مفاتيح تشفير المفاتيح (KEKs). لا يغطي دفتر تشغيل Copy-VmDigitalEvidence المتوفر في سيناريو التوزيع هذا الاستخدام.

المكونات

  • تعمل Azure Automation على أتمتة مهام إدارة السحابة المتكررة والمستهلكة للوقت والمعرضة للخطأ.
  • التخزين هو حل تخزين سحابي يتضمن الكائن والملف والقرص وقوائم الانتظار وتخزين الجدول.
  • يوفر Azure Blob Storage تخزينا محسنا للكائنات السحابية التي تدير كميات هائلة من البيانات غير المنظمة.
  • مشاركات Azure Files. يمكنك تحميل المشاركات بشكل متزامن بواسطة عمليات النشر السحابية أو المحلية ل Windows وLinux وmacOS. يمكنك أيضا تخزين مشاركات Azure Files مؤقتا على خوادم Windows باستخدام Azure File Sync للوصول السريع بالقرب من مكان استخدام البيانات.
  • يدعم Azure Monitor عملياتك على نطاق واسع من خلال مساعدتك على زيادة أداء مواردك وتوافرها إلى أقصى حد وتحديد المشكلات بشكل استباقي.
  • يساعدك Key Vault على حماية مفاتيح التشفير والأسرار الأخرى التي تستخدمها التطبيقات والخدمات السحابية.
  • معرف Microsoft Entra هو خدمة هوية مستندة إلى السحابة تساعدك على التحكم في الوصول إلى Azure وتطبيقات السحابة الأخرى.

Automation

يستخدم فريق SOC حساب Automation لإنشاء وصيانة سجل تشغيل Copy-VmDigitalEvidence. يستخدم الفريق أيضا التنفيذ التلقائي لإنشاء عمال دفتر التشغيل المختلط الذي يشغل دفتر التشغيل.

عامل دفتر التشغيل المختلط

الجهاز الظاهري لعامل دفتر التشغيل المختلط هو جزء من حساب التنفيذ التلقائي. يستخدم فريق SOC هذا الجهاز الظاهري حصريا لتنفيذ دفتر تشغيل Copy-VmDigitalEvidence.

يجب وضع الجهاز الظاهري لعامل دفتر التشغيل المختلط في شبكة فرعية يمكنها الوصول إلى حساب التخزين. قم بتكوين الوصول إلى حساب التخزين عن طريق إضافة الشبكة الفرعية VM لعامل دفتر التشغيل المختلط إلى قواعد قائمة السماح لجدار حماية حساب التخزين.

يجب منح حق الوصول إلى هذا الجهاز الظاهري فقط لأعضاء فريق SOC لأنشطة الصيانة.

لعزل الشبكة الظاهرية المستخدمة من قبل الجهاز الظاهري، لا تقم بتوصيل تلك الشبكة الظاهرية بالمركز.

يستخدم عامل دفتر التشغيل المختلط الهوية المدارة المعينة من قبل نظام التنفيذ التلقائي للوصول إلى موارد الجهاز الظاهري الهدف وخدمات Azure الأخرى التي يتطلبها الحل.

يتم تصنيف الحد الأدنى من أذونات التحكم في الوصول استنادا إلى الدور (RBAC) التي يجب تعيينها إلى الهوية المدارة المعينة من قبل النظام في فئتين:

  • الوصول إلى أذونات بنية SOC Azure التي تحتوي على المكونات الأساسية للحل
  • أذونات الوصول إلى البنية الهدف التي تحتوي على موارد الجهاز الظاهري الهدف

يتضمن الوصول إلى بنية SOC Azure الأدوار التالية:

  • مساهم حساب التخزين في حساب التخزين الثابت SOC
  • مسؤول أسرار Key Vault على مخزن مفاتيح SOC لإدارة BEK

يتضمن الوصول إلى البنية الهدف الأدوار التالية:

  • مساهم في مجموعة موارد الجهاز الظاهري المستهدف، والتي توفر حقوق اللقطة على أقراص الجهاز الظاهري
  • يستخدم Key Vault Secrets Officer على مخزن مفاتيح الجهاز الظاهري الهدف لتخزين BEK، فقط إذا تم استخدام RBAC لمخزن المفاتيح
  • نهج الوصول إلى الحصول على البيانات السرية على مخزن مفاتيح الجهاز الظاهري الهدف المستخدم لتخزين BEK، فقط إذا كنت تستخدم نهج وصول ل Key Vault

إشعار

لقراءة BEK، يجب أن يكون مخزن مفاتيح الجهاز الظاهري الهدف متاحا من الجهاز الظاهري لعامل دفتر التشغيل المختلط. إذا تم تمكين جدار الحماية في مخزن المفاتيح، فتأكد من السماح بعنوان IP العام للجهاز الظاهري لعامل دفتر التشغيل المختلط من خلال جدار الحماية.

حساب Azure Storage

يستضيف حساب Azure Storage في اشتراك SOC لقطات القرص في حاوية تم تكوينها باستخدام نهج احتجاز قانوني كمخزن كائن ثنائي كبير الحجم غير قابل للتغيير في Azure. يخزن تخزين الكائن الثنائي كبير الحجم غير القابل للتغيير كائنات البيانات الهامة للأعمال في حالة الكتابة مرة واحدة، ويقرأ العديد من (WORM)، مما يجعل البيانات غير قابلة للإلغاء وغير قابلة لطرحها لفترة زمنية محددة من قبل المستخدم.

تأكد من تمكين خصائص جدار حماية النقل والتخزين الآمن. يمنح جدار الحماية الوصول فقط من شبكة SOC الظاهرية.

يستضيف حساب التخزين أيضا مشاركة ملف Azure كمستودع مؤقت لحساب قيمة تجزئة اللقطة.

Azure Key Vault

يحتوي اشتراك SOC على مثيله الخاص من Key Vault، الذي يستضيف نسخة من BEK التي تشفير قرص Azure تستخدم لحماية الجهاز الظاهري الهدف. يتم الاحتفاظ بالنسخة الأساسية في مخزن المفاتيح الذي يستخدمه الجهاز الظاهري الهدف، بحيث يمكن للجهاز الظاهري الهدف متابعة التشغيل العادي.

يحتوي مخزن مفاتيح SOC أيضا على قيم التجزئة للقطات القرص المحسوبة من قبل عامل دفتر التشغيل المختلط أثناء عمليات الالتقاط.

تأكد من تمكين جدار الحماية على مخزن المفاتيح. يمنح الوصول فقط من شبكة SOC الظاهرية.

Log Analytics

تخزن مساحة عمل Log Analytics سجلات النشاط المستخدمة لتدقيق جميع الأحداث ذات الصلة على اشتراك SOC. Log Analytics هي ميزة من ميزات Monitor.

تفاصيل السيناريو

التحليل الجنائي الرقمي هو علم يعالج استرداد البيانات الرقمية والتحقيق فيها لدعم التحقيقات الجنائية أو الإجراءات المدنية. الطب الشرعي للكمبيوتر هو فرع من الطب الشرعي الرقمي الذي يلتقط البيانات وتحليلها من أجهزة الكمبيوتر والأجهزة الظاهرية ووسائط التخزين الرقمية.

يجب على الشركات ضمان أن الأدلة الرقمية التي تقدمها استجابة للطلبات القانونية توضح شركة CoC صالحة طوال عملية الحصول على الأدلة وحفظها والوصول إليها.

حالات الاستخدام المحتملة

  • يمكن لفريق مركز عمليات الأمان التابع للشركة تنفيذ هذا الحل التقني لدعم CoC صالح للأدلة الرقمية.
  • يمكن للمحققين إرفاق نسخ القرص التي يتم الحصول عليها مع هذه التقنية على جهاز كمبيوتر مخصص لتحليل الطب الشرعي. يمكنهم إرفاق نسخ القرص دون تشغيل أو الوصول إلى الجهاز الظاهري المصدر الأصلي.

الامتثال التنظيمي ل CoC

إذا كان من الضروري إرسال الحل المقترح إلى عملية التحقق من صحة التوافق التنظيمي، ففكر في المواد الموجودة في قسم الاعتبارات أثناء عملية التحقق من صحة حل CoC.

إشعار

يجب عليك إشراك القسم القانوني الخاص بك في عملية التحقق من الصحة.

الاعتبارات

يتم تقديم المبادئ التي تتحقق من صحة هذا الحل ك CoC في هذا القسم.

لضمان وجود CoC صالح، يجب أن يظهر تخزين الأدلة الرقمية التحكم الكافي في الوصول، وحماية البيانات وتكاملها، والمراقبة والتنبيه، والتسجيل والتدقيق.

الامتثال لمعايير ولوائح الأمان

عند التحقق من صحة حل CoC، فإن أحد متطلبات التقييم هو الامتثال لمعايير ولوائح الأمان.

جميع المكونات المضمنة في البنية هي خدمات Azure القياسية المبنية على أساس يدعم الثقة والأمان والتوافق.

لدى Azure مجموعة واسعة من شهادات التوافق، بما في ذلك الشهادات الخاصة بالبلدان أو المناطق، والصناعات الرئيسية مثل الرعاية الصحية والحكومة والتمويل والتعليم.

للحصول على تقارير تدقيق محدثة مع معلومات حول توافق المعايير للخدمات المعتمدة في هذا الحل، راجع Service Trust Portal.

تخزين Azure في Cohasset : SEC 17a-4(f) و CFTC 1.31(c)-(d) يوفر تقييم التوافق تفاصيل حول المتطلبات التالية:

  • هيئة الأوراق المالية والبورصات (SEC) في 17 CFR رقم 240.17a-4(f)، والتي تنظم أعضاء البورصة أو الوسطاء أو التجار.
  • قاعدة هيئة تنظيم الصناعة المالية (FINRA) 4511(c)، والتي تؤجل متطلبات التنسيق والوسائط للقاعدة 17a-4(f) الخاصة ب SEC.
  • لجنة تداول السلع الآجلة (CFTC) في اللائحة 17 CFR رقم 1.31(c)-(d)، والتي تنظم تداول العقود الآجلة للسلع الأساسية.

من رأي Cohasset أن التخزين، مع ميزة التخزين غير القابلة للتغيير في Blob Storage وخيار تأمين النهج، يحتفظ بالكائنات الثنائية كبيرة الحجم المستندة إلى الوقت (السجلات) بتنسيق غير قابل للتغيير وغير قابل للكتابة ويلبي متطلبات التخزين ذات الصلة لقاعدة SEC 17a-4(f)، وقاعدة FINRA 4511(c)، والمتطلبات المستندة إلى المبادئ لقاعدة CFTC 1.31(c)-(d).

أقل امتياز

عند تعيين أدوار فريق SOC، يجب أن يكون لدى شخصين فقط داخل الفريق حقوق تعديل تكوين RBAC للاشتراك وبياناته. منح الأفراد الآخرين الحد الأدنى فقط من حقوق الوصول إلى مجموعات البيانات الفرعية التي يحتاجونها لأداء عملهم. تكوين الوصول وفرضه من خلال Azure RBAC.

أقل وصول

فقط الشبكة الظاهرية في اشتراك SOC لديها حق الوصول إلى حساب تخزين SOC وخزنة المفاتيح التي ترشفة الأدلة.

ويتاح للمحققين الذين يحتاجون إلى الحصول على الأدلة إمكانية الوصول المؤقت إلى مخزن SOC. يمكن لأعضاء فريق SOC المعتمدين منح حق الوصول.

الحصول على الأدلة

يمكن أن تظهر سجلات تدقيق Azure الحصول على الأدلة عن طريق تسجيل إجراء أخذ لقطة قرص الجهاز الظاهري، مع عناصر مثل من أخذ اللقطات ومتى.

تكامل الأدلة

يضمن استخدام الأتمتة لنقل الأدلة إلى وجهة الأرشيف النهائية الخاصة بها، دون تدخل بشري، عدم تغيير البيانات الاصطناعية للأدلة.

عند تطبيق نهج احتجاز قانوني على التخزين الوجهة، يتم تجميد الأدلة في الوقت المناسب بمجرد كتابتها. يظهر الاحتجاز القانوني أنه تم الاحتفاظ ب CoC بالكامل في Azure. يظهر الاحتجاز القانوني أيضا أنه لم تكن هناك فرصة للعبث بالأدلة بين وقت وجود صور القرص على جهاز ظاهري مباشر ووقت إضافتها كدليل في حساب التخزين.

وأخيرا، يمكنك استخدام الحل المتوفر، كآلية تكامل، لحساب قيم التجزئة لصور القرص. خوارزميات التجزئة المدعومة هي: MD5 أو SHA256 أو SKEIN أو KECCAK (أو SHA3).

إنتاج الأدلة

يحتاج المحققون إلى الوصول إلى الأدلة حتى يتمكنوا من إجراء التحليلات، ويجب تتبع هذا الوصول والتصريح به صراحة.

تزويد المحققين بمفتاح تخزين URI لتوقيعات الوصول المشترك (SAS) للوصول إلى الأدلة. يمكنك استخدام SAS URI لإنتاج معلومات السجل ذات الصلة عند إنشاء SAS. يمكنك أيضا الحصول على نسخة من الأدلة في كل مرة يتم فيها استخدام SAS.

يجب وضع عناوين IP للمحققين الذين يحتاجون إلى الوصول بشكل صريح على قائمة السماح في جدار حماية التخزين.

على سبيل المثال، إذا احتاج الفريق القانوني إلى نقل محرك أقراص ثابت ظاهري محفوظ (VHD)، يقوم أحد أمناء فريق SOC بإنشاء مفتاح SAS URI للقراءة فقط تنتهي صلاحيته بعد ثماني ساعات. ويحد SAS من إمكانية الوصول إلى عناوين IP للمحققين إلى إطار زمني محدد.

وأخيرا، يحتاج المحققون إلى BEKs المؤرشفة في مخزن مفاتيح SOC للوصول إلى نسخ القرص المشفرة. يجب على عضو فريق SOC استخراج BEKs وتوفيرها عبر قنوات آمنة للمحققين.

المتجر الإقليمي

للامتثال، تتطلب بعض المعايير أو اللوائح الأدلة والبنية الأساسية للدعم للحفاظ عليها في نفس منطقة Azure.

تتم استضافة جميع مكونات الحل، بما في ذلك حساب التخزين الذي يقوم بأرشفة الأدلة، في نفس منطقة Azure مثل الأنظمة التي يتم التحقيق فيها.

التميز التشغيلي

يغطي التميز التشغيلي عمليات التشغيل التي تحافظ على تشغيل التطبيق في الإنتاج. لمزيد من المعلومات، يرجى مراجعةنظرة عامة على ركيزة التميز التشغيلي.

المراقبة والتنبيه

يوفر Azure خدمات لجميع العملاء لمراقبة الحالات الشاذة التي تتضمن اشتراكاتهم ومواردهم والتنبيه بشأنها. تتضمن هذه الخدمات:

إشعار

لم يتم وصف تكوين هذه الخدمات في هذه المقالة.

نشر هذا السيناريو

اتبع إرشادات نشر مختبر CoC لإنشاء هذا السيناريو ونشره في بيئة مختبرية.

تمثل بيئة المختبر نسخة مبسطة من البنية الموضحة في المقالة. يمكنك نشر مجموعتين من الموارد ضمن نفس الاشتراك. تحاكي مجموعة الموارد الأولى بيئة الإنتاج، وتسكن الأدلة الرقمية، بينما تحتفظ مجموعة الموارد الثانية ببيئة SOC.

استخدم الزر التالي لنشر مجموعة موارد SOC فقط في بيئة إنتاج.

نشر في Azure

إشعار

إذا قمت بنشر الحل في بيئة إنتاج، فتأكد من أن الهوية المدارة المعينة من قبل النظام لحساب التنفيذ التلقائي لديها الأذونات التالية:

  • مساهم في مجموعة موارد الإنتاج للجهاز الظاهري المراد معالجته. ينشئ هذا الدور اللقطات.
  • مستخدم Key Vault Secrets في مخزن مفاتيح الإنتاج الذي يحتوي على BEKs. يقرأ هذا الدور BEKs.

أيضا، إذا تم تمكين جدار الحماية في مخزن المفاتيح، فتأكد من السماح بعنوان IP العام للجهاز الظاهري لعامل دفتر التشغيل المختلط من خلال جدار الحماية.

التكوين الموسع

يمكنك نشر عامل دفتر تشغيل مختلط محليا أو في بيئات سحابية مختلفة.

في هذا السيناريو، يمكنك تخصيص سجل تشغيل Copy-VmDigitalEvidence لتمكين التقاط الأدلة في بيئات مستهدفة مختلفة وأرشفة في التخزين.

إشعار

تم تطوير سجل تشغيل Copy-VmDigitalEvidence المتوفر في قسم Deploy this scenario واختباره فقط في Azure. لتوسيع الحل إلى الأنظمة الأساسية الأخرى، يجب تخصيص دفتر التشغيل للعمل مع هذه الأنظمة الأساسية.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكتاب الرئيسيون:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية

لمزيد من المعلومات حول ميزات حماية البيانات في Azure، راجع:

لمزيد من المعلومات حول ميزات التسجيل والتدقيق في Azure، راجع:

لمزيد من المعلومات حول توافق Microsoft Azure، راجع: