Forense digital e PCs do Windows 365 Enterprise Cloud

Tal como os dispositivos físicos, os PCs Windows 365 Enterprise Cloud podem ser implementados, protegidos e geridos com Microsoft Intune. Como parte da propriedade do PC, você pode ser solicitado a enviar PCs na Nuvem a terceiros internos ou a terceiros para realizar análises forenses digitais. A forense digital é a ciência que aborda a recuperação e investigação de dados digitais para apoiar investigações criminais ou processos civis.

Para dar suporte a essas análises forenses, o Windows 365 oferece a capacidade de colocar um computador na nuvem em revisão. Essa ação salvará com segurança um instantâneo do computador na nuvem na conta de armazenamento do Azure do cliente. Quando transferido para essa conta, o cliente tem a propriedade total do instantâneo. Para tornar a snapshot evidente, o cliente deve criar um hash de ficheiro do snapshot assim que o snapshot tiver sido guardado na conta de Armazenamento do Azure.

Os investigadores podem anexar cópias em disco do instantâneo do computador na nuvem e transferi-lo para uma conta de armazenamento segura dedicada à análise forense. Esse processo pode ser feito sem recriar, ligar ou acessar o computador na nuvem original.

Cenários

Você pode ter que colocar um computador na nuvem sob revisão para qualquer um destes cenários:

1. Uma solicitação de uma equipe interna do Centro de Operações de Segurança (SOC).
2. Como resposta a uma solicitação de um auditor terceirizado interno ou externo.
3. Como resposta a uma investigação legal pendente ou em andamento.

Considerações para forense digital

Em resposta a solicitações legais de dados armazenados em um computador na nuvem, os administradores devem atestar que as evidências digitais fornecidas demonstram uma Cadeia de Custódia (CoC) válida durante todo o processo de aquisição, preservação e acesso de evidências. Por esse motivo, os administradores devem garantir o suporte adequado:

• Controlo de acesso. Para obter mais informações sobre a gestão de acesso just-in-time, veja Best practices for Azure RBAC (Melhores práticas para o RBAC do Azure) e Start using Privileged Identity Managmement (Começar a utilizar o Privileged Identity Managmement).
• Proteção e integridade de dados. Apenas a rede virtual na subscrição dedicada que contém o snapshot tem acesso à conta de armazenamento e ao cofre de chaves que arquiva as provas. Para obter mais informações, veja Microsoft Purview Customer Key for Windows 365 Cloud PCs (Chave de Cliente do Microsoft Purview para PCs na Cloud do Windows 365)
• Monitorização e alertas. Para obter mais informações, veja Alerta sobre a atribuição de funções privilegiadas do Azure
• Registo e auditoria, separação de deveres. Apenas a pequena lista de administradores com acesso à conta de armazenamento pode conceder aos investigadores acesso temporário (que foi gravado e aprovado) às provas.

Próximas etapas

Colocar um computador na nuvem em revisão.

Para obter mais informações sobre o suporte da Microsoft para investigações digitais, consulte Cadeia de custódia de computação forense no Azure.