Düzenle

Aracılığıyla paylaş

Azure'da bilgisayar adli tıp gözetim zinciri

Azure Automation
Azure Disk Encryption
Azure Key Vault
Azure Storage Accounts

Bu makalede, ekiplerin yasal isteklere yanıt olarak geçerli bir gözetim zinciri (CoC) gösteren dijital kanıt sağlamasına yardımcı olan bir altyapı ve iş akışı süreci açıklanmaktadır. Bu tartışma kanıt edinme, koruma ve erişim süreçleri boyunca geçerli bir CoC'ye yol gösterir.

Not

Bu makale yazarların teorik ve pratik bilgilerini temel alır. Yasal amaçlarla kullanmadan önce hukuk departmanınızla uygulanabilirliğini doğrulayın.

Mimari

Mimari tasarımı, Azure için Bulut Benimseme Çerçevesi açıklanan Azure giriş bölgesi ilkelerini izler.

Bu senaryo, aşağıdaki diyagramda gösterildiği gibi merkez-uç ağ topolojisini kullanır:

Velayet zinciri mimarisini gösteren diyagram.

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

Mimaride üretim sanal makineleri (VM) uç Azure sanal ağının bir parçasıdır. Diskleri Azure Disk Şifrelemesi ile şifrelenir. Daha fazla bilgi için bkz . Yönetilen disk şifreleme seçeneklerine genel bakış. Üretim aboneliğinde Azure Key Vault, VM'lerin BitLocker şifreleme anahtarlarını (BEK' ler) depolar.

Not

Senaryo, şifrelenmemiş disklere sahip üretim VM'leri için çalışır.

Sistem ve kuruluş denetimleri (SOC) ekibi ayrı bir Azure SOC aboneliği kullanır. Ekibin bu aboneliğe özel erişimi vardır. Bu abonelik, korunması, izlenemez ve izlenmesi gereken kaynakları içerir. SOC aboneliğindeki Azure Depolama hesabı sabit blob depolamada disk anlık görüntülerinin kopyalarını barındırır ve ayrılmış bir anahtar kasası anlık görüntülerin karma değerlerini ve VM'lerin BEK'lerinin kopyalarını tutar.

BIR VM'nin dijital kanıtını yakalama isteğine yanıt olarak, SOC ekip üyesi Azure SOC aboneliğinde oturum açar ve Copy-VmDigitalEvidence runbook'unu uygulamak için Otomasyon'da bir Azure karma runbook çalışanı VM kullanır. Otomasyon karma runbook çalışanı, yakalamaya dahil olan tüm mekanizmaların denetimini sağlar.

Copy-VmDigitalEvidence runbook'u şu makro adımlarını uygular:

  1. Hedef VM'nin kaynaklarına ve çözümün gerektirdiği diğer Azure hizmetlerine erişmek için Otomasyon hesabının Sistem tarafından atanan yönetilen kimliğini kullanarak Azure'da oturum açın.
  2. VM'nin işletim sistemi (işletim sistemi) ve veri diskleri için disk anlık görüntüleri oluşturun.
  3. Anlık görüntüleri SOC aboneliğinin sabit blob depolama alanına ve geçici bir dosya paylaşımına kopyalayın.
  4. Dosya paylaşımındaki kopyayı kullanarak anlık görüntülerin karma değerlerini hesaplayın.
  5. Elde edilen karma değerleri ve VM'nin BEK'ini SOC anahtar kasasına kopyalayın.
  6. Sabit blob depolama alanı dışındaki anlık görüntülerin tüm kopyalarını temizleyin.

Not

Üretim VM'lerinin şifrelenmiş diskleri de anahtar şifreleme anahtarlarını (KEK' ler) kullanabilir. Dağıtım senaryosunda sağlanan Copy-VmDigitalEvidence runbook'u bu kullanımı kapsamaz.

Bileşenler

  • Azure Otomasyonu sık, zaman alan ve hataya açık bulut yönetimi görevlerini otomatikleştirir.
  • Depolama nesne, dosya, disk, kuyruk ve tablo depolamayı içeren bir bulut depolama çözümüdür.
  • Azure Blob Depolama, çok büyük miktarlarda yapılandırılmamış verileri yöneten iyileştirilmiş bulut nesne depolaması sağlar.
  • paylaşımları Azure Dosyalar. Windows, Linux ve macOS'un bulut veya şirket içi dağıtımlarına göre paylaşımları eşzamanlı olarak bağlayabilirsiniz. Ayrıca, verilerin kullanıldığı yere yakın bir yerde hızlı erişim için Azure Dosya Eşitleme ile Windows Sunucularında Azure Dosyalar paylaşımları önbelleğe alabilirsiniz.
  • Azure İzleyici , kaynaklarınızın performansını ve kullanılabilirliğini en üst düzeye çıkarmanıza ve sorunları proaktif olarak belirlemenize yardımcı olarak büyük ölçekte işlemlerinizi destekler.
  • Key Vault , bulut uygulamaları ve hizmetleri tarafından kullanılan şifreleme anahtarlarını ve diğer gizli dizileri korumanıza yardımcı olur.
  • Microsoft Entra ID , Azure ve diğer bulut uygulamalarına erişimi denetlemenize yardımcı olan bulut tabanlı bir kimlik hizmetidir.

Otomasyon

SOC ekibi, Copy-VmDigitalEvidence runbook'unu oluşturmak ve bakımını yapmak için bir Otomasyon hesabı kullanır. Ekip, runbook'u çalıştıran karma runbook çalışanlarını oluşturmak için Otomasyon'u da kullanır.

Karma runbook çalışanı

Karma runbook çalışanı VM, Otomasyon hesabının bir parçasıdır. SOC ekibi bu VM'yi yalnızca Copy-VmDigitalEvidence runbook'unu uygulamak için kullanır.

Karma runbook çalışanı VM'sini Depolama hesabına erişebilen bir alt ağa yerleştirmeniz gerekir. Depolama hesabının güvenlik duvarı izin listesi kurallarına karma runbook çalışanı VM alt a ekleyerek Depolama hesabına erişimi yapılandırın.

Bakım etkinlikleri için bu VM'ye yalnızca SOC ekip üyelerine erişim vermelisiniz.

SANAL makine tarafından kullanılan sanal ağı yalıtmak için bu sanal ağı hub'a bağlamayın.

Karma runbook çalışanı, hedef VM'nin kaynaklarına ve çözümün gerektirdiği diğer Azure hizmetlerine erişmek için Otomasyon sistem tarafından atanan yönetilen kimliği kullanır.

Sistem tarafından atanan yönetilen kimliğe atanması gereken en düşük rol tabanlı erişim denetimi (RBAC) izinleri iki kategoride sınıflandırılır:

  • Çözüm temel bileşenlerini içeren SOC Azure mimarisine erişim izinleri
  • Hedef VM kaynaklarını içeren hedef mimariye erişim izinleri

SOC Azure mimarisine erişim aşağıdaki rolleri içerir:

  • SOC sabit Depolama hesabı üzerinde Depolama Hesabı Katılımcısı
  • BEK yönetimi için SOC anahtar kasasında Key Vault Gizli Dizileri Yetkilisi

Hedef mimariye erişim aşağıdaki rolleri içerir:

  • VM disklerinde anlık görüntü hakları sağlayan, hedef VM kaynak grubu üzerinde Katılımcı
  • Hedef VM'nin bek depolamak için kullanılan anahtar kasasında Key Vault Gizli DiziLeri Yetkilisi , yalnızca anahtar kasası için RBAC kullanılıyorsa
  • Yalnızca Key Vault için bir erişim ilkesi kullanıyorsanız, BEK'i depolamak için kullanılan hedef VM'nin anahtar kasasında Gizli Dizi Alma ilkesine erişim ilkesi

Not

BEK'i okumak için hedef VM'nin anahtar kasasına karma runbook çalışan VM'sinden erişilebilir olmalıdır. Anahtar kasasında güvenlik duvarı etkinleştirildiyse, karma runbook çalışan VM'sinin genel IP adresine güvenlik duvarı üzerinden izin verildiğinden emin olun.

Azure Storage hesabı

SOC aboneliğindeki Azure Depolama hesabı, disk anlık görüntülerini azure sabit blob depolama alanı olarak yasal tutma ilkesiyle yapılandırılmış bir kapsayıcıda barındırır. Sabit blob depolama, iş açısından kritik veri nesnelerini bir kez yazma, çok okuma (WORM) durumunda depolar ve bu da verileri kullanıcı tarafından belirtilen bir aralık için yok sayılamaz ve düzenlenemez hale getirir.

Güvenli aktarım ve depolama güvenlik duvarı özelliklerini etkinleştirdiğinizden emin olun. Güvenlik duvarı yalnızca SOC sanal ağından erişim verir.

Depolama hesabı ayrıca anlık görüntünün karma değerini hesaplamak için geçici bir depo olarak bir Azure dosya paylaşımı barındırıyor.

Azure Key Vault

SOC aboneliğinin, Azure Disk Şifrelemesi hedef VM'yi korumak için kullandığı BEK'in bir kopyasını barındıran kendi Key Vault örneği vardır. Hedef VM'nin normal çalışmaya devam edebilmesi için birincil kopya hedef VM tarafından kullanılan anahtar kasasında tutulur.

SOC anahtar kasası, yakalama işlemleri sırasında karma runbook çalışanı tarafından hesaplanan disk anlık görüntülerinin karma değerlerini de içerir.

Güvenlik duvarının anahtar kasasında etkinleştirildiğinden emin olun. Yalnızca SOC sanal ağından erişim verir.

Log Analytics

Log Analytics çalışma alanı, SOC aboneliğindeki tüm ilgili olayları denetlemek için kullanılan etkinlik günlüklerini depolar. Log Analytics, İzleyici'nin bir özelliğidir.

Senaryo ayrıntıları

Dijital adli araştırmalar, suç araştırmalarını veya sivil takibatları destekleyen dijital verilerin kurtarılmasına ve araştırılmasına yönelik bir bilimdir. Bilgisayar adli tıp, bilgisayarlardan, VM'lerden ve dijital depolama medyasından verileri yakalayan ve analiz eden bir dijital adli tıp dalıdır.

Şirketler, yasal taleplere yanıt olarak sağladıkları dijital kanıtın kanıt edinme, koruma ve erişim süreci boyunca geçerli bir CoC gösterdiğini garanti etmelidir.

Olası kullanım örnekleri

  • Bir şirketin Güvenlik operasyon merkezi ekibi, dijital kanıt için geçerli bir CoC'yi desteklemek üzere bu teknik çözümü uygulayabilir.
  • Araştırmacılar, bu teknikle elde edilen disk kopyalarını adli analize ayrılmış bir bilgisayara ekleyebilir. Disk kopyalarını açmadan veya özgün kaynak VM'ye erişmeden ekleyebilirler.

CoC mevzuat uyumluluğu

Önerilen çözümün bir mevzuat uyumluluğu doğrulama sürecine gönderilmesi gerekiyorsa CoC çözümü doğrulama işlemi sırasında dikkat edilmesi gerekenler bölümünde yer alan malzemeleri göz önünde bulundurun.

Not

Hukuk departmanınızı doğrulama sürecine dahil etmelisiniz.

Dikkat edilmesi gereken noktalar

Bu çözümü CoC olarak doğrulayan ilkeler bu bölümde sunulmaktadır.

Dijital kanıtın, geçerli Delil Zinciri’ni sağlayacak yeterli erişim denetimi, veri koruması ve bütünlüğü, izleme ve uyarıya ek olarak günlüğe kaydetme ve denetim göstermesi gerekir.

Güvenlik standartları ve düzenlemeleri ile uyumluluk

Bir CoC çözümünü doğruladığınızda, değerlendirmeniz gereken gereksinimlerden biri güvenlik standartlarına ve düzenlemelerine uyumdur.

Mimariye dahil edilen tüm bileşenler, güven, güvenlik ve uyumluluğu destekleyen bir temel üzerine kurulu Azure standart hizmetleridir.

Azure, ülkelere veya bölgelere özgü sertifikalar ve sağlık, kamu, finans ve eğitim gibi önemli sektörler için de dahil olmak üzere çok çeşitli uyumluluk sertifikalarına sahiptir.

Bu çözümde benimsenen hizmetler için standartlara uyumluluk hakkında bilgi içeren güncelleştirilmiş denetim raporları için bkz . Hizmet Güveni Portalı.

Cohasset'in Azure Depolaması: SEC 17a-4(f) ve CFTC 1.31(c)-(d) Uyumluluk Değerlendirmesi aşağıdaki gereksinimlerle ilgili ayrıntıları verir:

  • Borsa üyelerini, aracıları veya bayileri düzenleyen 17 CFR § 240.17a-4(f) cinsinden Menkul Kıymetler ve Borsa Komisyonu (SEC).
  • SEC Kural 17a-4(f) biçimini ve medya gereksinimlerini saptıran Finansal Endüstri Düzenleme Kurumu (FINRA) Kural 4511(c).
  • Emtia Vadeli İşlem Komisyonu (CFTC) tüzüğünde 17 CFR § 1.31(c)-(d), emtia vadeli işlem düzenleyen.

Cohasset'in görüşüne göre depolama, Blob Depolama'nın sabit depolama özelliği ve ilke kilidi seçeneğiyle zaman tabanlı blobları (kayıtları) yok ve yazılamaz biçimde tutar ve SEC Kuralı 17a-4(f), FINRA Kural 4511(c) ve CFTC Kuralı 1.31(c)-(d) ilke tabanlı gereksinimlerinin ilgili depolama gereksinimlerini karşılar.

En az ayrıcalık

SOC ekibinin rolleri atandığında, ekip içindeki yalnızca iki kişinin aboneliğin ve verilerinin RBAC yapılandırmasını değiştirme hakkı olmalıdır. Diğer kişilere yalnızca işlerini yapmaları için ihtiyaç duydukları veri alt kümelerine en düşük erişim haklarını verin. Azure RBAC aracılığıyla erişimi yapılandırın ve zorunlu kılın.

En az erişim

Yalnızca SOC aboneliğindeki sanal ağın, kanıtı arşivleyen SOC Depolama hesabına ve anahtar kasasına erişimi vardır.

SOC depolama alanına geçici erişim, kanıta erişim gerektiren araştırmacılara sağlanır. Yetkili SOC ekip üyeleri erişim verebilir.

Kanıt edinimi

Azure denetim günlükleri, anlık görüntüleri kimin ve ne zaman aldığı gibi öğelerle vm disk anlık görüntüsü alma eylemini kaydederek kanıt elde etme işlemini gösterebilir.

Kanıt bütünlüğü

Otomasyon'un, kanıtı insan müdahalesi olmadan son arşiv hedefine taşımak için kullanılması, kanıt yapıtlarının değiştirilmediğini garanti eder.

Hedef depolamaya yasal saklama ilkesi uyguladığınızda, kanıt yazıldığında zamanında dondurulur. Yasal tutma, CoC'nin tamamen Azure'da tutulduğunu gösterir. Yasal tutma ayrıca, disk görüntülerinin canlı bir VM'de bulunduğu zaman ile depolama hesabına kanıt olarak eklenme zamanları arasında kanıt üzerinde oynama fırsatı olmadığını gösterir.

Son olarak, disk görüntülerinin karma değerlerini hesaplamak için sağlanan çözümü bütünlük mekanizması olarak kullanabilirsiniz. Desteklenen karma algoritmalar şunlardır: MD5, SHA256, SKEIN, KECCAK (veya SHA3).

Kanıt üretimi

Araştırmacıların analiz yapabilmeleri için kanıta erişmeleri ve bu erişimin izlenip açıkça yetkilendirilmeleri gerekir.

Araştırmacılara kanıta erişmek için paylaşılan erişim imzaları (SAS) URI depolama anahtarı sağlayın. SAS URI'sini kullanarak SAS oluşturulduğunda ilgili günlük bilgilerini oluşturabilirsiniz. SAS her kullanıldığında kanıtın bir kopyasını da alabilirsiniz.

Erişim gerektiren araştırmacıların IP adreslerini Depolama güvenlik duvarındaki izin verilenler listesine açıkça yerleştirmeniz gerekir.

Örneğin, bir hukuk ekibinin korunan bir sanal sabit sürücüyü (VHD) aktarması gerekiyorsa, iki SOC ekibi koruyucusunun biri sekiz saat sonra süresi dolan salt okunur bir SAS URI anahtarı oluşturur. SAS, araştırmacıların IP adreslerine erişimi belirli bir zaman dilimiyle sınırlar.

Son olarak, araştırmacıların şifrelenmiş disk kopyalarına erişmek için SOC anahtar kasasında arşivlenen BEK'lere ihtiyacı vardır. SOC ekip üyesi, BEK'leri ayıklamalı ve araştırmacılara güvenli kanallar aracılığıyla sağlamalıdır.

Bölgesel depolama

Uyumluluk için bazı standartlar veya düzenlemeler kanıt ve destek altyapısının aynı Azure bölgesinde tutulmasını gerektirir.

Kanıt arşivleyen Depolama hesabı da dahil olmak üzere tüm çözüm bileşenleri, araştırılan sistemlerle aynı Azure bölgesinde barındırılır.

Operasyonel mükemmellik

Operasyonel mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel mükemmellik sütununa genel bakış.

İzleme ve uyarı

Azure, tüm müşterilere abonelikleri ve kaynaklarıyla ilgili anomalileri izlemeleri ve uyarı vermeleri için hizmetler sağlar. Bu hizmetlerden bazıları:

Not

Bu hizmetlerin yapılandırması bu makalede açıklanmıştır.

Bu senaryoyu dağıtın

Bu senaryoyu laboratuvar ortamında derlemek ve dağıtmak için CoC laboratuvar dağıtım yönergelerini izleyin.

Laboratuvar ortamı, makalede açıklanan mimarinin basitleştirilmiş bir sürümünü temsil eder. Aynı abonelik içinde iki kaynak grubu dağıtırsınız. İlk kaynak grubu üretim ortamının simülasyonunu yaparken dijital kanıt barındırırken ikinci kaynak grubu SOC ortamını barındırıyor.

Üretim ortamında yalnızca SOC kaynak grubunu dağıtmak için aşağıdaki düğmeyi kullanın.

Azure’a dağıtın

Not

Çözümü bir üretim ortamında dağıtırsanız otomasyon hesabının sistem tarafından atanan yönetilen kimliğinin aşağıdaki izinlere sahip olduğundan emin olun:

  • İşlenecek VM'nin üretim kaynak grubundaki Katkıda Bulunan. Bu rol anlık görüntüleri oluşturur.
  • BEK'leri barındıran üretim anahtarı kasasında Bir Key Vault Gizli Dizi Kullanıcısı. Bu rol, BEK'leri okur.

Ayrıca, anahtar kasasında güvenlik duvarı etkinleştirildiyse, karma runbook çalışan VM'sinin genel IP adresine güvenlik duvarı üzerinden izin verildiğinden emin olun.

Genişletilmiş yapılandırma

Şirket içinde veya farklı bulut ortamlarında karma runbook çalışanı dağıtabilirsiniz.

Bu senaryoda, Copy-VmDigitalEvidence runbook'unu özelleştirerek farklı hedef ortamlardaki kanıtların yakalanmasını sağlayabilir ve bunları depolama alanında arşivleyebilirsiniz.

Not

Bu senaryoyu dağıt bölümünde sağlanan Copy-VmDigitalEvidence runbook'u yalnızca Azure'da geliştirilmiş ve test edilmiştir. Çözümü diğer platformlara genişletmek için runbook'u bu platformlarla çalışacak şekilde özelleştirmeniz gerekir.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazarlar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

Azure veri koruma özellikleri hakkında daha fazla bilgi için bkz.

Azure günlüğe kaydetme ve denetleme özellikleri hakkında daha fazla bilgi için bkz.

Microsoft Azure uyumluluğu hakkında daha fazla bilgi için bkz: