Forensische Daten abrufen

Sie können forensische Daten aus einem Backup abrufen, indem Sie diese Daten herunterladen oder wiederherstellen.

So können Sie forensische Daten abrufen

1. Gehen Sie in der Cyber Protect-Konsole zu Backup Storage.
2. Wählen Sie einen Backup-Speicherort, der Backup-Archive mit forensischen Daten unterstützt.
3. Wählen Sie ein Backup-Archiv aus, das forensische Daten enthält, und klicken Sie dann auf Backups anzeigen.

4. Wählen Sie ein Backup (einen Recovery-Punkt) aus, der/die die forensischen Daten enthält, und klicken Sie dann auf Recovery.

5. [Wenn Sie nur forensische Datendateien herunterladen oder wiederherstellen wollen] Klicken Sie auf Forensische Daten.

   Es werden Dateien, die forensische Daten enthalten, angezeigt.

   1. [Um Dateien herunterzuladen] Wählen Sie eine oder mehrere Dateien aus und klicken Sie dann auf Download.
   2. [Um Dateien wiederherzustellen] Wählen Sie eine oder mehrere Dateien aus und klicken Sie dann auf Recovery.

   Sie können in der Cyber Protect-Konsole keine Dateien herunterladen, die größer als 100 MB sind. Üblicherweise ist eine Speicherabbilddatei (raw.dmp) größer. Sie können diese Datei wiederherstellen und dann kopieren.

   Sie können das Speicherabbild (Memory Dump) für Forensik-Programme von Drittherstellern verwenden. Ein Beispiel ist die Software Volatility Framework (https://www.volatilityfoundation.org/), mit der Sie weitergehende Speicheranalysen durchführen können.

6. [Um das komplette Backup wiederherzustellen] Klicken Sie auf Komplette Maschine.

   1. Konfigurieren Sie die Recovery-Optionen.
   2. Klicken Sie auf Recovery starten.
   3. Klicken Sie auf Recovery starten, um zu bestätigen, dass Sie die Laufwerke der Zielmaschine überschreiben wollen.
   Um sicherzustellen, dass während des Boot-Prozesses keine Änderungen am Laufwerk vorgenommen werden, ist die wiederhergestellte Maschine nicht bootfähig.