Dati forensi

Virus, malware e ransomware possono contenere azioni dannose e causare il furto o la modifica dei dati. Su queste attività è possibile effettuare delle indagini, a condizione che siano fornite delle prove digitali. Tuttavia, alcune prove digitali, come i file o le tracce di attività, possono essere state cancellate, oppure il sistema sul quale è avvenuta l'attività potrebbe diventare non disponibile.

I backup con dati forensi consentono agli investigatori di analizzare aree del disco che in genere non sono incluse in un normale backup di disco. L'opzione di backup Dati forensi consente di raccogliere le seguenti prove digitali, che possono essere utilizzate in indagini forensi: snapshot dello spazio su disco non utilizzato, dump di memoria e snapshot dei processi in esecuzione.

I backup con dati forensi vengono autenticati automaticamente.

L'opzione Dati forensi è disponibile solo per i backup dell'intero sistema di sistemi Windows con i sistemi operativi seguenti:

  • Windows 8.1, Windows 10
  • Windows Server 2012 R2 – Windows Server 2019

I backup con dati forensi non sono disponibili per i sistemi seguenti:

  • Sistemi connessi alla rete tramite VPN che non hanno accesso diretto a Internet
  • Sistemi con dischi crittografati da BitLocker

Non è possibile modificare le impostazioni relative ai dati forensi dopo aver applicato al sistema un piano di protezione con il modulo Backup abilitato. Per utilizzare impostazioni diverse relative ai dati forensi, creare un nuovo piano di protezione.

È possibile archiviare i backup con dati forensi nelle posizioni seguenti:

  • Archiviazione nel cloud

  • Cartella locale

    La posizione nella cartella locale è supportata solo per i dischi rigidi esterni connessi tramite USB.

    I dischi dinamici locali non sono supportati come posizione per i backup con dati forensi.

  • Cartella di rete

Processo di backup con dati forensi

Durante la creazione di backup con dati forensi, il sistema esegue quanto indicato di seguito:

  1. Acquisisce il dump della memoria raw e l'elenco dei processi in esecuzione.
  2. Riavvia automaticamente un sistema con il supporto di avvio.
  3. Crea il backup che include sia lo spazio occupato che quello non allocato.
  4. Autentica i dischi di cui è stato eseguito il backup.
  5. Sia riavvia con il sistema operativo live e continua l'esecuzione del piano (ad esempio eseguendo la replica, la conservazione, la convalida e altre attività).

Per configurare la raccolta di dati forensi

  1. Nella console del servizio, passare a Dispositivi > Tutti i dispositivi. In alternativa, è possibile creare il piano di protezione nella scheda Piani.
  2. Selezionare il dispositivo e fare clic su Proteggi.
  3. Nel piano di protezione, attivare il modulo Backup.
  4. In Elementi del backup, selezionare Intera macchina.
  5. In Opzioni di backup, fare clic su Modifica.
  6. Individuare l'opzione Dati forensi.

  7. Abilitare Raccogli dati forensi. Il sistema acquisisce automaticamente un dump di memoria e crea uno snapshot dei processi in esecuzione.

    Il dump della memoria completa può contenere dati sensibili, ad esempio password.

  8. Specificare la posizione.
  9. Fare clic su Esegui ora per eseguire un backup con dati forensi subito o attendere la creazione del backup in base alla pianificazione.
  10. Aprire Pannello di controllo > Attività, verificare che la creazione del backup con dati forensi sia riuscita.

A questo punto, i backup includeranno i dati forensi che sarà possibile acquisire e analizzare. I backup con dati forensi vengono contrassegnati e possono essere filtrati tra gli altri backup in Archivio di backup > Posizioni utilizzando l'opzione Solo con dati forensi.

Come ottenere i dati forensi da un backup

  1. Nella console del servizio, passare a Archivio di backup e selezionare la posizione con i backup che includono dati forensi.
  2. Selezionare il backup con dati forensi e fare clic su Mostra backup.

  3. Fare clic su Ripristina per il backup con dati forensi.

    • Per ottenere solo i dati forensi, fare clic su Dati forensi.

      Il sistema visualizza una cartella con i dati forensi. Selezionare un file dump di memoria o qualsiasi altro file forense e fare clic su Scarica.

    • Per ripristinare un intero backup forense, fare clic su Intera macchina. Il sistema recupera il backup senza la modalità di avvio. Ciò consente di controllare che il disco non abbia subìto modifiche.

È possibile utilizzare il dump di memoria fornito con diversi software per dati forensi di terze parti, come Volatility Framework, disponibile all'indirizzo https://www.volatilityfoundation.org/, che consente ulteriori analisi della memoria.