フォレンジックデータ

ウイルスやマルウェアやランサムウェアによって、マシンで不正なアクティビティが実行されることがあります。いろいろなプログラムによってマシンのデータが盗まれたり変更されたりするケースについても調査が必要です。そうしたアクティビティについて調査が必要だとしても、デジタル痕跡がマシンに残っていなければ、調査は不可能です。残念ながら、痕跡(ファイルやトレースなど)が削除されたり、マシン自体が使用不可になったりすることもあります。

[フォレンジックデータ] というバックアップオプションを使用すれば、フォレンジック調査で使用できるデジタル痕跡を収集できます。デジタル痕跡として使用できるのは、使用されていないディスクスペースのスナップショット、メモリダンプ、実行中のプロセスのスナップショットです。[フォレンジックデータ] 機能は、マシン全体のバックアップでしか使用できません。

現時点で [フォレンジックデータ] オプションを使用できるのは、以下のOSバージョンのWindowsマシンだけです。

  • Windows 8.1、Windows 10
  • Windows Server 2012 R2~Windows Server 2019
  • バックアップモジュールを組み込んだ保護計画をマシンに適用した後に、フォレンジックデータ設定を変更することはできません。別のフォレンジックデータ設定を使用する場合は、新しい保護計画を作成してください。
  • フォレンジックデータ収集を使用したバックアップは、VPN経由でネットワークに接続していて、インターネットに直接アクセスすることができないマシンをサポートしていません。

フォレンジックデータのバックアップロケーションとしてサポートされているのは、以下の場所です。

  • クラウドストレージ

  • ローカルフォルダ

    1. ローカルフォルダの場合は、USBで接続した外付けハードディスクのローカルフォルダだけがサポートされています。
    2. ローカルダイナミックディスクは、フォレンジックバックアップのロケーションとしてはサポートされていません。
  • ネットワークフォルダ

フォレンジックデータが含まれているバックアップでは、自動的に公証が行われます。フォレンジックバックアップでは、調査担当者が、通常のディスクバックアップには通常含まれないディスク領域を分析できます。

フォレンジックバックアップのプロセス

フォレンジックバックアップのプロセスでは、システムが以下の処理を実行します。

  1. 未処理のメモリダンプを収集し、実行中のプロセスのリストを作成します。
  2. ブータブルメディアで自動的にマシンを再起動します。
  3. 占有済みの領域と未割り当ての領域の両方を組み込んだバックアップを作成します。
  4. バックアップしたディスクの公証を行います。
  5. ライブのオペレーティングシステムで再起動して、計画を引き続き実行します(レプリケーション、保持、ベリファイなど)。

フォレンジックデータの収集を構成するには

  1. サービスコンソールで [デバイス] > [すべてのデバイス] に進みます。あるいは、[計画] タブで保護計画を作成することも可能です。
  2. 対象のデバイスを選択して、[保護] をクリックします。
  3. 保護計画で [バックアップ] モジュールを有効にします。
  4. [バックアップの対象][マシン全体] を選択します。
  5. [バックアップオプション][変更] をクリックします。
  6. [フォレンジックデータ] オプションを見つけます。

  7. [フォレンジックデータの収集] を有効にします。システムが自動的にメモリダンプを収集し、実行中のプロセスのスナップショットを作成します。

    フルメモリダンプには、パスワードなどの機密データも含まれている可能性があります。

  8. ロケーションを指定します。
  9. [今すぐ実行] をクリックして、フォレンジックデータのバックアップをすぐに実行するか、スケジュールに沿ってバックアップが作成されるのを待ちます。
  10. [ダッシュボード] > [アクティビティ] に進み、フォレンジックデータのバックアップが正常に作成されていることを確認します。

バックアップにフォレンジックデータが組み込まれるので、そのデータを抽出して分析できるようになります。フォレンジックデータが含まれているバックアップには、そのことを示すマークが付くので、[バックアップストレージ] > [ロケーション] で、[フォレンジックデータのみ] オプションを使用すれば、フィルタリングによって他のバックアップと区別して表示できます。

バックアップからフォレンジックデータを抽出する方法

  1. サービスコンソールで [バックアップストレージ] に進み、フォレンジックデータが含まれているバックアップのロケーションを選択します。
  2. フォレンジックデータのバックアップを選択し、[バックアップの表示] をクリックします。

  3. フォレンジックデータのバックアップの [復元] をクリックします。

    • フォレンジックデータだけを抽出する場合は、[フォレンジックデータ] をクリックします。

      フォレンジックデータが含まれているフォルダが表示されます。メモリダンプファイルや他のフォレンジックファイルを選択して、[ダウンロード] をクリックします。

    • フォレンジックバックアップ全体を復元する場合は、[マシン全体] をクリックします。起動モードなしでバックアップが復元されます。その結果、ディスクが変更されていないことを確認できるようになります。

サードパーティ製のフォレンジックソフトウェアでメモリダンプを分析することも可能です。例えば、メモリを詳しく分析するためのVolatility Framework(https://www.volatilityfoundation.org/)などがあります。