Digital forensics and Windows 365 Enterprise Cloud PC

Proprio come i dispositivi fisici, Windows 365 Enterprise PC cloud possono essere distribuiti, protetti e gestiti usando Microsoft Intune. Come parte della proprietà del PC, potrebbe essere richiesto di inviare PC cloud a utenti interni o terzi per eseguire analisi forensi digitali. La medicina forense digitale è la scienza che si occupa del recupero e dell'indagine dei dati digitali per supportare indagini penali o procedimenti civili.

Per supportare queste analisi forensi, Windows 365 offre la possibilità di posizionare un PC cloud sotto esame. Questa azione consente di salvare in modo sicuro uno snapshot del PC cloud nell'account di archiviazione di Azure del cliente. Quando viene trasferito a tale account, il cliente ha la proprietà completa dello snapshot. Per rendere evidente la manomissione dello snapshot, il cliente deve creare un hash del file dello snapshot non appena lo snapshot è stato salvato nell'account di archiviazione di Azure.

Gli investigatori possono collegare copie del disco dello snapshot del PC cloud e trasferirlo in un account di archiviazione sicuro dedicato all'analisi forense. Questo processo può essere eseguito senza ricreare, accendere o accedere al CLOUD PC di origine originale.

Scenari

Potrebbe essere necessario inserire un PC cloud sotto esame per uno di questi scenari:

1. Richiesta da parte di un team interno del Centro operativo di sicurezza (SOC).
2. Risposta a una richiesta di un revisore interno o esterno di terze parti.
3. Come risposta a un'indagine legale in sospeso o in corso.

Considerazioni per le analisi forensi digitali

In risposta alle richieste legali per i dati archiviati in un PC cloud, gli amministratori devono attestare che le prove digitali fornite dimostrano una catena di custodia valida durante il processo di acquisizione, conservazione e accesso delle prove. Per questo motivo, gli amministratori devono assicurarsi di supportare adeguatamente:

• Controllo di accesso. Per altre informazioni sulla gestione degli accessi JIT, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure e Iniziare a usare Privileged Identity Managmement.
• Protezione e integrità dei dati. Solo la rete virtuale nella sottoscrizione dedicata contenente lo snapshot ha accesso all'account di archiviazione e all'insieme di credenziali delle chiavi che archivia l'evidenza. Per altre informazioni, vedere Microsoft Purview Customer Key for Windows 365 Cloud PC
• Monitoraggio e avvisi. Per altre informazioni, vedere Avviso sull'assegnazione di ruolo di Azure con privilegi
• Registrazione e controllo, separazione dei compiti. Solo il piccolo elenco di amministratori con accesso all'account di archiviazione può concedere agli investigatori l'accesso temporaneo (registrato e approvato) alle prove.

Passaggi successivi

Posizionare un PC cloud sotto revisione.

Per altre informazioni sul supporto di Microsoft per le indagini digitali, vedere Catena di custodia forense del computer in Azure.