Cadena de custodia del análisis forense de equipos en Azure

En este artículo se describe una infraestructura y un proceso de flujo de trabajo para ayudar a los equipos a proporcionar pruebas digitales que demuestren una cadena de custodia (CoC) válida en respuesta a solicitudes legales. En esta explicación se guía una CoC válida a lo largo de los procesos de adquisición, preservación y acceso a la prueba.

El diseño de la arquitectura sigue los principios de la Zona de aterrizaje de Azure que se describen en el Cloud Adoption Framework para Azure.

Este escenario utiliza una topología de red radial como se muestra en el siguiente diagrama:

Descargue un archivo Visio de esta arquitectura.

En la arquitectura, las máquinas virtuales (VM) de producción forman parte de una Azure Virtual Network. Sus discos están cifrados con Azure Disk Encryption. Para más información, consulte Información general sobre las opciones de cifrado de disco administrado. En la suscripción de producción, Azure Key Vault almacena las claves de cifrado BitLocker (BEK) de las máquinas virtuales.

El equipo de Security Operation Center (SOC) usa una suscripción discreta de Azure SOC. El equipo tiene acceso exclusivo a esa suscripción, que contiene los recursos que deben mantenerse protegidos, inviolables y vigilados. La cuenta Microsoft Azure Storageen la suscripción SOC aloja copias de instantáneas de disco en almacenamiento blob inmutable, y una Almacén de claves dedicada guarda los valores hash de las instantáneas y copias de los BEK de las máquinas virtuales.

En respuesta a una solicitud para capturar la evidencia digital de una máquina virtual, un miembro del equipo de SOC inicia sesión en la suscripción de SOC de Azure y usa una instancia de Hybrid Runbook Worker de Azure máquina virtual de Automation para ejecutar el runbook de Copy-VmDigitalEvidence. El Trabajador del libro de ejecución híbrido de Automation proporciona el control de todos los mecanismos implicados en la captura.

El libro de ejecución Copy-VmDigitalEvidence implementa estos pasos de macro:

1. Use la identidad administrada asignada por el sistema para una cuenta de Automation para iniciar sesión en Azure y acceder a los recursos de la máquina virtual de destino, junto con los demás servicios de Azure necesarios para la solución.
2. Genere instantáneas de disco del sistema operativo (SO) de la máquina virtual y de los discos de datos.
3. Transfiera las instantáneas al almacenamiento de blobs inmutable de la suscripción de SOC y en un recurso compartido de archivos temporal.
4. Calcule los valores hash de las instantáneas mediante la copia almacenada en el recurso compartido de archivos.
5. Almacene los valores hash obtenidos y el BEK de la máquina virtual en el almacén de claves SOC.
6. Quite todas las copias de las instantáneas excepto la de almacenamiento de blobs inmutable.

• Azure Automation automatiza tareas de administración de la nube frecuentes, lentas y propensas a errores. Se usa para automatizar el proceso de captura y transferencia de instantáneas de disco de máquina virtual para garantizar la integridad de la evidencia.
• Storage es una solución de almacenamiento en la nube que incluye el almacenamiento de objetos, archivos, discos, colas y tablas. Hospeda instantáneas de disco en el almacenamiento de blobs inmutables para conservar la evidencia en un estado no modificable y no modificable.
• Azure Blob Storage proporciona almacenamiento optimizado de objetos en la nube que administra cantidades masivas de datos no estructurados. Ofrece almacenamiento optimizado de objetos en la nube para almacenar instantáneas de disco como blobs inmutables.
• Recursos compartidos de Azure Files. Puede montar simultáneamente recursos compartidos a través de implementaciones locales o en la nube de Windows, Linux y macOS. Además, puede almacenar en caché recursos compartidos de Azure Files en servidores windows mediante Azure File Sync para obtener acceso rápido cerca de la ubicación de uso de datos. Se usa como repositorio temporal para calcular los valores hash de las instantáneas de disco.
• Almacén de claves le ayuda a salvaguardar claves criptográficas y otros secretos utilizados por aplicaciones y servicios en la nube. Se usa para almacenar las claves de cifrado (BEK) de BitLocker y los valores hash de las instantáneas de disco para garantizar el acceso seguro y la integridad.
• Id. de Microsoft Entra es un servicio de identidad basado en la nube que le ayuda a controlar el acceso a Azure y otras aplicaciones en la nube. Se usa para controlar los accesos a los recursos de Azure, lo que garantiza la administración segura de identidades.
• azure Monitor admite las operaciones a escala, ya que le ayudan a maximizar el rendimiento y la disponibilidad de los recursos, a la vez que identifican de forma proactiva los posibles problemas. Archiva los registros de actividad para auditar todos los eventos pertinentes con fines de cumplimiento y supervisión.

El equipo SOC utiliza una cuenta Automation para crear y mantener el libro de ejecución Copy-VmDigitalEvidence. El equipo también usa automation para crear los trabajos de runbook híbridos que ejecutan el runbook.

La instancia de Hybrid Runbook Worker vm se integra en la cuenta de Automation. El equipo de SOC usa esta máquina virtual exclusivamente para ejecutar el runbook de Copy-VmDigitalEvidence.

Debe colocar la máquina virtual del Hybrid Runbook Worker en una subred que pueda acceder a la cuenta de almacenamiento. Configure el acceso a la cuenta de almacenamiento agregando la subred de máquina virtual de Hybrid Runbook Worker a las reglas de la lista de permitidos de firewall de la cuenta de almacenamiento.

Debe conceder acceso a esta VM solo a los miembros del equipo SOC para las actividades de mantenimiento.

Para aislar la red virtual que usa la máquina virtual, evite conectar esa red virtual al centro.

El Hybrid Runbook Worker utiliza la identidad administrada asignada por el sistema de automatización para acceder a los recursos de la máquina virtual de destino y a los demás servicios de Azure necesarios para la solución.

Los permisos mínimos de control de acceso basado en roles (RBAC) que deben asignarse a la identidad administrada asignada por el sistema se clasifican en dos categorías:

• Permisos de acceso a la arquitectura SOC Azure que contiene los componentes principales de la solución
• Permisos de acceso a la arquitectura de destino que contiene los recursos de la máquina virtual de destino

El acceso a la arquitectura del SOC Azure incluye los siguientes roles:

• Colaborador de cuenta de almacenamiento en la cuenta de almacenamiento inmutable del Centro de operaciones de seguridad
• El Responsable de secretos de Key Vault en el almacén de claves SOC para la administración de BEK

El acceso a la arquitectura de destino incluye los siguientes roles:

• Colaborador en el grupo de recursos de la máquina virtual de destino, que proporciona derechos de instantánea en discos de máquinas virtuales
• director de secretos de Key Vault en el almacén de claves de la máquina virtual de destino que se usa para almacenar el BEK, solo si se usa RBAC para controlar el acceso a Key Vault
• Directiva de acceso para Obtener secreto en el almacén de claves de la máquina virtual de destino que se usa para almacenar el BEK, solo si la directiva de acceso se usa para controlar el acceso de Key Vault.

La cuenta Azure Storage de la suscripción SOC aloja las instantáneas de disco en un contenedor configurado con una directiva de retención legal como el almacenamiento inmutable de blobs de Azure. El almacenamiento inmutable de blobs almacena objetos de datos críticos para el negocio en un estado de escritura única y lectura múltiple (WORM), lo que hace que los datos no se puedan borrar ni editar durante un intervalo especificado por el usuario.

Asegúrese de habilitar las propiedades de transferencia segura y firewall de almacenamiento. El firewall solo permite el acceso desde la red virtual del SOC.

La cuenta de almacenamiento también hospeda un recurso compartido de archivos de Azure como repositorio temporal que se usa para calcular el valor hash de la instantánea.

La suscripción al SOC tiene su propia instancia de Almacén de claves, que aloja una copia del BEK que Azure Disk Encryption utiliza para proteger la máquina virtual de destino. La copia principal se almacena en el almacén de claves utilizado por la máquina virtual de destino, lo que permite que la máquina virtual de destino continúe con las operaciones normales.

El almacén de claves SOC también almacena los valores hash de las instantáneas de disco calculadas por hybrid runbook Worker durante las operaciones de captura.

Asegúrese de que el firewall está habilitado en el almacén de claves. Debe conceder acceso exclusivamente desde la red virtual SOC.

Un área de trabajo de Log Analytics almacena los registros de actividad utilizados para auditar todos los eventos relevantes en la suscripción SOC. Log Analytics es una característica de Monitor.

El análisis forense digital es una ciencia que aborda la recuperación e investigación de datos digitales para apoyar investigaciones criminales o procedimientos civiles. La informática forense es una rama de la informática forense que captura y analiza datos de ordenadores, máquinas virtuales y medios de almacenamiento digital.

Las empresas deben garantizar que las pruebas digitales que proporcionan en respuesta a solicitudes legales demuestran un CdC válido a lo largo de todo el proceso de adquisición, conservación y acceso a las pruebas.

• El equipo de SOC de una empresa puede implementar esta solución técnica para admitir un CoC válido para pruebas digitales.
• Los investigadores pueden adjuntar copias de disco obtenidas con esta técnica en un ordenador dedicado al análisis forense. Pueden conectar las copias de disco sin encender la máquina virtual original ni acceder a ella.

Si es necesario someter la solución propuesta a un proceso de validación de cumplimiento normativo, tenga en cuenta los materiales que se indican en la sección de consideraciones durante el proceso de validación de la solución CoC.

En esta sección se presentan los principios que validan esta solución como CoC.

Para garantizar una cadena de custodia válida, el almacenamiento de las evidencias digitales debe demostrar que tanto el control de acceso como la protección e integridad de los datos, la supervisión y las alertas, y el registro y la auditoría son adecuados.

Cuando se valida una solución de CdC, uno de los requisitos que hay que evaluar es el cumplimiento de las normas y reglamentos de seguridad.

Todos los componentes incluidos en la arquitectura son servicios estándar de Azure creados sobre una base que respalda la confianza, la seguridad y el cumplimiento.

Azure cuenta con una amplia gama de certificaciones de cumplimiento, incluidas certificaciones específicas para países o regiones, y para sectores clave como sanidad, administración pública, finanzas y educación.

Para obtener informes de auditoría actualizados con información sobre el cumplimiento de las normas para los servicios que se adoptan en esta solución, consulte Portal de confianza de servicios.

Cohasset Azure Storage: SEC 17a-4(f) y CFTC 1.31(c)-(d) Compliance Assessment proporciona detalles sobre los siguientes requisitos:

• La Comisión de Bolsa y Valores (SEC) en 17 CFR § 240.17a-4(f), que regula a los miembros de la bolsa, corredores o intermediarios.
• La Regla 4511(c) de la Financial Industry Regulatory Authority (FINRA), que difiere de los requisitos de formato y medios de la Regla 17a-4(f) de la SEC.
• La Comisión de Negociación de Futuros de Productos Básicos (CFTC) en el reglamento 17 CFR § 1.31(c)-(d), que regula el comercio de futuros de materias primas.

Según Cohasset, el almacenamiento, con la característica de almacenamiento inmutable de Blob Storage y la opción de bloqueo de directiva, conserva los blobs basados en el tiempo (registros) en un formato que no se puede borrar ni escribir, y cumple los requisitos de almacenamiento pertinentes de la regla 17a-4 (f) de SEC, la regla 4511 (c) de FINRA y los requisitos basados en principios de la regla 1.31 (c) de CFTC.

Cuando se asignan los roles del equipo de SOC, solo dos individuos dentro del equipo, denominados custodios del equipo de SOC, deben tener derechos para modificar la configuración de RBAC de la suscripción y sus datos. Conceda al resto de las personas solo los derechos de acceso mínimo a los subconjuntos de datos que necesitan para realizar su trabajo. Configurar e imponer el acceso a través de Azure RBAC.

Solo la red virtual de la suscripción de SOC tiene acceso a la cuenta de almacenamiento de SOC y al almacén de claves que archiva las pruebas.

Se proporciona acceso temporal al almacenamiento del SOC a los investigadores que necesitan acceder a las pruebas. Los miembros autorizados del equipo de SOC pueden conceder este acceso.

Los registros de auditoría de Azure pueden documentar la adquisición de evidencia mediante la grabación de la acción de realizar una instantánea de disco de máquina virtual, incluidos detalles como quién tomó las instantáneas y cuándo.

El uso de Automation para mover evidencias a su destino final de archivo, sin intervención humana, garantiza que no se modificaron los artefactos de evidencia.

Cuando se aplica una directiva de suspensión legal al almacenamiento de destino, la evidencia se inmoviliza inmediatamente en cuanto se escribe. Una suspensión legal demuestra que el CoC se mantuvo completamente en Azure. También indica que no había ninguna oportunidad de alterar la evidencia desde el momento en que las imágenes de disco estaban en una máquina virtual activa a cuando se almacenaban como evidencia en la cuenta de almacenamiento.

Por último, puede usar la solución proporcionada como mecanismo de integridad para calcular los valores hash de las imágenes de disco. Los algoritmos hash admitidos son: MD5, SHA256, SKEIN, KECCAK (o SHA3).

Los investigadores necesitan acceso a las pruebas para poder realizar análisis, y este acceso debe ser rastreado y autorizado explícitamente.

Proporcione a los investigadores una clave de almacenamiento para el URI de firmas de acceso compartido (SAS) para acceder a la prueba. Un URI de SAS puede generar información de registro relevante cuando se crea y puede obtener una copia de la evidencia cada vez que se usa la SAS.

Por ejemplo, si un equipo jurídico necesita transferir un disco duro virtual (VHD) conservado, uno de los dos custodios del equipo SOC genera una clave SAS URI de solo lectura que caduca a las ocho horas. La SAS restringe el acceso a los investigadores dentro de un período de tiempo especificado.

Además, el equipo de SOC debe colocar explícitamente las direcciones IP de los investigadores que requieren acceso en una lista de permitidos en el firewall de Storage.

Por último, los investigadores necesitan los BEK archivados en el almacén de claves del SOC para acceder a las copias de disco cifradas. Un miembro del equipo SOC debe extraer los BEK y proporcionarlos a través de canales seguros a los investigadores.

Por motivos de cumplimiento, algunas normas o reglamentos exigen que las pruebas y la infraestructura de apoyo se mantengan en la misma región Azure.

Todos los componentes de la solución, incluida la cuenta de almacenamiento que archiva las pruebas, se hospedan en la misma región de Azure que los sistemas que se están investigando.

La excelencia operativa abarca los procesos que implementan una aplicación y garantizan su funcionamiento continuo en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

Azure ofrece servicios a todos los clientes para supervisar y alertar sobre anomalías relacionadas con sus suscripciones y recursos. Estos servicios incluyen:

• Microsoft Sentinel.
• Microsoft Defender for Cloud.
• Microsoft Defender para Storage.

Siga las instrucciones de implementación del laboratorio de CoC para crear e implementar este escenario en un entorno de laboratorio.

El entorno de laboratorio representa una versión simplificada de la arquitectura descrita en el artículo. Implemente dos grupos de recursos dentro de la misma suscripción. El primer grupo de recursos simula el entorno de producción, que alberga las pruebas digitales, mientras que el segundo grupo de recursos contiene el entorno SOC.

Utilice el siguiente botón para implementar solo el grupo de recursos SOC en un entorno de producción.

Puede implementar un Hybrid Runbook Worker local o en diferentes entornos de nube.

En este escenario, debe personalizar el runbook de Copy‑VmDigitalEvidence para habilitar la captura de evidencia en distintos entornos de destino y archivarlos en el almacenamiento.

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

• Fabio Masciotra | Consultor principal
• Simone Savi | Consultor sénior

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Para más información sobre las características de protección de datos de Azure, consulte:

• Cifrado de Azure Storage para datos en reposo
• Información general sobre las opciones de cifrado de disco administrado
• Directivas de retención con duración definida

Para más información, acerca de las características de registro y auditoría de Azure, consulte:

• Registro y auditoría de seguridad de Azure
• Registro de Azure Storage Analytics
• Registros de recursos de Azure

Para obtener más información sobre el cumplimiento de Microsoft Azure, consulte:

• Cumplimiento de Azure
• Ofertas de cumplimiento de Microsoft

• Diseño de arquitectura de seguridad