Données d'investigation

Les virus, malware et ransomware peuvent réaliser des activités malveillantes comme des vols ou des modifications de données. De telles activités doivent être examinées, mais cela est possible uniquement si vous en conservez une preuve numérique. Cependant, ces preuves numériques, par ex. des fichiers ou des traces d'activité, peuvent être supprimées ou l'ordinateur sur lequel l'activité malveillante s'est produite peut devenir indisponible.

Les sauvegardes avec des données d'investigation permettent aux enquêteurs d'analyser les zones de disque qui ne sont généralement pas incluses dans une sauvegarde de disque habituelle. L'option de sauvegarde avec Données d'investigation vous permet de recueillir les preuves pouvant être utilisées dans les enquêtes d'investigation : captures d'écran d'espace de disque libre, vidages mémoire et captures d'écran de processus en cours d'exécution.

Les sauvegardes avec données d'investigation sont automatiquement notarisées.

Actuellement, l'option de sauvegarde avec Données d'investigation est disponible uniquement pour les sauvegardes complètes d'ordinateurs Windows exécutant les versions de système d'exploitation suivantes :

  • Windows 8.1, Windows 10
  • Windows Server 2012 R2 – Windows Server 2019

Les sauvegardes avec des données d'investigation ne sont pas disponibles pour les ordinateurs suivants :

  • Ordinateurs connectées à votre réseau via VPN et qui n'ont pas d'accès direct à Internet
  • Ordinateurs avec des disques chiffrés par BitLocker

Une fois un plan de protection appliqué à un ordinateur avec un module de sauvegarde, les paramètres des données d'investigation ne peuvent pas être modifiés. Pour utiliser des paramètres de données d'investigation différents, créez un nouveau plan de protection.

Vous pouvez stocker les sauvegardes avec données d'investigations sous les emplacements suivants :

  • Stockage dans le Cloud

  • Dossier local

    Le stockage sur un dossier local n'est pris en charge que sur les disques durs externes connectés via USB.

    Le stockage sur les disques dynamiques locaux n'est pas pris en charge pour les sauvegardes avec données d'investigation.

  • Dossier réseau

Processus de sauvegarde d'investigation

Le système effectue les opérations suivantes lors d'un processus de sauvegarde d'investigation :

  1. Collecte le vidage mémoire brut et la liste des processus en cours d'exécution.
  2. Redémarre automatiquement une machine dans le support de démarrage.
  3. Crée la sauvegarde qui inclut aussi bien l'espace occupé que l'espace non alloué.
  4. Notarise les disques sauvegardés.
  5. Redémarre dans le système d'exploitation en ligne et poursuit l'exécution du plan (par exemple, réplication, rétention, validation et autre).

Pour configurer un recueil de données d'investigation

  1. Dans la console de service, accédez à Périphériques > Tous les périphériques. Le plan de protection peut également être créé depuis l'onglet Plans.
  2. Sélectionnez le périphérique et cliquez sur Protéger.
  3. Dans le plan de protection, activez le module Sauvegarde.
  4. Dans Quoi sauvegarder, sélectionnez Toute la machine.
  5. Dans Options de sauvegarde, cliquez sur Modifier.
  6. Trouvez l'option Données d'investigation.

  7. Activez Collecter des données d'investigation. Le système recueillera automatiquement un vidage de mémoire et créera un instantané des processus en cours d'exécution.

    Il se peut que le vidage mémoire complet contienne des données sensibles telles que des mots de passe.

  8. Précisez l'emplacement.
  9. Cliquez sur Exécuter maintenant pour exécuter immédiatement une sauvegarde avec données d'investigation, ou attendez que la sauvegarde ait été créée selon la planification.
  10. Accédez à Tableau de bord > Activités, vérifiez que la sauvegarde avec données d'investigation a bien été créée.

Par conséquent, les sauvegardes incluront les données d'investigation que vous pourrez récupérer et analyser. Les sauvegardes avec données d'investigation sont identifiées et peuvent être filtrées parmi d'autres sauvegardes dans Stockage de sauvegarde > Emplacements à l'aide de l'option Uniquement avec les données d'investigation.

Comment récupérer des données d'investigation à partir d'une sauvegarde ?

  1. Dans la console de service, accédez à Stockage de sauvegarde et sélectionnez l'emplacement avec les sauvegardes contenant des données d'investigation.
  2. Sélectionnez la sauvegarde avec données d'investigation et cliquez sur Afficher les sauvegardes.

  3. Cliquez sur Restaurer pour la sauvegarde avec données d'investigation.

    • Pour obtenir uniquement les données d'investigation, cliquez sur Données d'investigation.

      Le système affichera un dossier avec données d'investigation. Sélectionnez un fichier de vidage mémoire ou tout autre fichier d'investigation, et cliquez sur Télécharger.

    • Pour restaurer une sauvegarde d'investigation, cliquez sur Machine complète. Le système restaurera la sauvegarde sans mode de démarrage. Il sera donc possible de vérifier que le disque n'a pas été modifié.

Vous pouvez utiliser le vidage mémoire fourni avec plusieurs logiciels d'investigation tiers ; utilisez par exemple Volatility Framework sur https://www.volatilityfoundation.org/ pour une analyse plus complète de la mémoire.