Недавно у нас произошло несколько событий безопасности, и мы немедленно сделали снимок виртуальной машины, так как хотели сохранить как можно больше данных. Теперь мы хотели бы отправить его третьей стороне криминалистической группы для определения уровня компрометации.
Мои вопросы: достаточно ли отправки им копии файла моментального снимка для проведения судебно-медицинской экспертизы?
Какие файлы необходимы для включения виртуальной машины?
Любая помощь с этим будет принята с благодарностью!
Хотя я не совсем уверен, каких файлов будет достаточно для запуска ВМ («минимальный» набор файлов ») - если файл моментального снимка вы имеете в виду файл, который создается при создании снимка: этого недостаточно! Это только инкрементное изменение, которое было внесено в виртуальный диск с момента создания моментального снимка. А без базового диска этот файл бесполезен.
Насколько мне известно, наиболее важными для запуска виртуальной машины являются файлы .vmx (файл конфигурации виртуальной машины) и файлы .vmdk (виртуальные жесткие диски (также содержащие файлы дополнительных снимков)). Поскольку файлы vmdk являются самыми большими файлами в этих папках, и поскольку вам определенно нужны эти файлы, я бы предложил скопировать / экспортировать всю папку целиком. Даже файлы журналов могут быть интересны для анализа, в зависимости от типа «событий безопасности», которые произошли с вами.
Не по умолчанию, нет. Файлы моментальных снимков - это просто файлы журналов инкрементальных изменений. В будущем вы захотите приостановить виртуальную машину, а затем скопировать файл .vmss куда-нибудь в свое хранилище.
Большинство, если не все коммерческие поставщики и службы судебной экспертизы, имеют инструменты, необходимые для преобразования .vmss в рабочий дамп памяти с журналированием. Скорее всего, они не будут «включать коробку», поскольку для этого потребуются дополнительные файлы.