フォレンジックデータ

ウイルス、マルウェア、ランサムウェアは、データを盗んだり改ざんしたりするなどの悪質なアクティビティを行います。これらのアクティビティの調査が必要になる場合がありますが、調査が可能なのはデジタル痕跡が残されている場合に限られます。しかし、ファイルやアクティビティのトレースなどデジタル痕跡の一部が削除されていたり、悪意のあるアクティビティが実行されたマシンが利用できなくなったりしている場合があります。

フォレンジックデータを含むバックアップでは、正規のディスクバックアップには通常含まれないディスク領域を調査担当者が分析できます。[フォレンジックデータ] バックアップオプションを有効にすると、フォレンジック調査で使用できる次のデジタル痕跡を収集できます。

• 未使用のディスク領域のスナップショット
• メモリダンプ
• 動作中のプロセスのスナップショット

フォレンジックデータが含まれているバックアップでは、自動的に公証が行われます。

[フォレンジックデータ] バックアップオプションは、以下のオペレーティングシステムを実行している、Windowsワークロードのマシン全体のバックアップで利用可能です。

• Windows 8.1 or later
• Windows Server 2012 R2 – Windows Server 2022

以下のワークロードでは、フォレンジックデータを伴うバックアップを利用できません。

• VPN経由でネットワークに接続していて、インターネットに直接アクセスすることができないワークロード。
• BitLockerで暗号化されたディスクを持つワークロード。

フォレンジックデータを含むバックアップは、次のバックアップロケーションでサポートされています。

• クラウドストレージ
• ネットワークフォルダ

• ローカルフォルダ

  ローカルフォルダは、バックアップ対象のワークロードにUSB経由で接続されている外付けハードドライブでのみサポートされます。

  ローカルダイナミックディスクは、フォレンジックデータのバックアップロケーションとしてはサポートされていません。

フォレンジックバックアップのプロセス

フォレンジックバックアップ中に、次の処理が実行されます。

1. 未加工のメモリダンプと実行中のプロセスの一覧が取得されます。
2. バックアップされたワークロードが再起動し、ブータブルメディアインターフェイスが開きます。
3. 使用領域と未割り当ての領域の両方を含むバックアップが作成されます。
4. バックアップされたディスクは公証されます。
5. ワークロードのオペレーティングシステムが再起動し、他の構成された処理が実行されます。たとえば、レプリケーション、保持、検証です。