Digitální forenzní a Windows 365 Enterprise cloudové počítače

Stejně jako fyzická zařízení můžou být Windows 365 Enterprise cloudové počítače nasazené, zabezpečené a spravované pomocí Microsoft Intune. V rámci vlastnictví počítače můžete být požádáni o odeslání cloudových počítačů interním nebo třetím stranám za účelem provedení digitální forenzní služby. Digitální forenzní věda se zabývá obnovou a vyšetřováním digitálních dat s cílem podpořit trestní vyšetřování nebo občanskoprávní řízení.

Pro podporu těchto forenzních služeb nabízí Windows 365 možnost provést kontrolu cloudového počítače. Tato akce bezpečně uloží snímek cloudového počítače do účtu úložiště Azure zákazníka. Po převodu na tento účet má zákazník úplné vlastnictví snímku. Aby bylo zřejmé, že došlo k manipulaci se snímkem, měl by zákazník vytvořit hodnotu hash souboru snímku, jakmile se snímek uloží do účtu služby Azure Storage.

Vyšetřovatelé můžou připojit diskové kopie snímku cloudového počítače a přenést je do zabezpečeného účtu úložiště vyhrazeného pro forenzní analýzu. Tento proces je možné provést bez opětovného vytvoření, zapnutí nebo přístupu k původnímu zdrojovému cloudovému počítači.

Scénáře

Cloud PC možná budete muset zkontrolovat u některého z těchto scénářů:

1. Žádost od interního týmu SOC (Security Operation Center).
2. Odpověď na žádost interního nebo externího auditora třetí strany.
3. Jako odpověď na probíhající nebo probíhající soudní šetření.

Důležité informace o digitální forenzní analýze

V reakci na právní žádosti o data uložená v cloudovém počítači musí správci ověřit, že digitální důkazy, které poskytují, prokazují platný řetězec péče (CoC) v průběhu procesu získávání, uchovávání a přístupu k důkazům. Z tohoto důvodu by se správci měli ujistit, že podporují odpovídající:

• Řízení přístupu. Další informace o správě přístupu za běhu najdete v tématech Osvědčené postupy pro Azure RBAC a Začínáme používat Privileged Identity Managmement.
• Ochrana a integrita dat. Přístup k účtu úložiště a trezoru klíčů, který archivuje důkazy, má pouze virtuální síť ve vyhrazeném předplatném obsahujícím snímek. Další informace najdete v tématu Klíč zákazníka Microsoft Purview pro počítače Windows 365 cloud.
• Monitorování a upozorňování. Další informace najdete v tématu Upozornění na přiřazení privilegovaných rolí Azure.
• Protokolování a auditování, oddělení povinností. Pouze malý seznam správců s přístupem k účtu úložiště může vyšetřovatelům udělit dočasný přístup (který byl zaznamenán a schválen) k důkazům.

Další kroky

Zkontrolujte cloudový počítač.

Další informace o podpoře digitálního vyšetřování od Microsoftu najdete v tématu Počítačový forenzní řetězec opatrovnictví v Azure.