AVDでPurview フォレンジック エビデンスを試す！

 

フォレンジック エビデンスとは、Windows OS 上で行われる情報流出につながる可能性がある一連の動作を検知し、その操作を記録する事ができる機能です。たとえば、USBへのコピー、印刷、Webへのアップロード、ネットワーク共有への転送 などが該当します。Windows OSが対象なので、当然セッションホスト上でも動作します。なので、今回はセッションホスト上での不正な操作が記録されるのか試してみたいと思います。

 

・セッションホストにPurviewクライアントをインストールする必要があります。
・キャプチャデータは動画では無く、画像をパラパラ漫画のように再生する。
・キャプチャデータをエクスポートすると、動画ファイル[MP4]になる。
・キャプチャデータは 120 日後に自動削除されます。

 

[ネットワーク要件]
セッションホストからストレージ接続のため、下記URLを開ける必要があります。

compliancedrive.microsoft.com
*.events.data.microsoft.com
officeclient.microsoft.com
odc.officeapps.live.com
hrd.svc.cloud.microsoft

 

[利用のための諸条件]
・Windows11 23H2 以降
・8core/16G 以上の仮想マシン
・直接割り当ての個人用プールのみ対応
・Entra Join / Entra Hybrid Join ※Entraにデバイスが登録されている必要がある。
・Intuneにデバイス登録されている必要がある。
・E5 Compliance / E3+Insider Risk Management いずれかのライセンスが必要
・ストレージライセンスが必要 100GB/月(単位)

 

 

---

全体の流れ

Step１：Microsoft Purview の設定
Step２：デバイスのオンボーディング＆Purview クライアント インストール
Step３：フォレンジック エビデンス のポリシー作成
Step４：フォレンジック エビデンス のリクエスト作成＆承認

手順的には、対象ユーザーを決める人と、それを[承認]する人という具合にわかれている。

 

---

Step１：Microsoft Purview の設定

 

先ずは、作業アカウントに対して[Insider Risk Management]ロールを割り当てます。
・Insider Risk Management : フォレンジックエビデンスのリクエスト・承認/拒否が可能
・Insider Risk Management Admins：フォレンジックエビデンスのリクエストが可能
・Insider Risk Management Approvers :フォレンジックエビデンスの承認/拒否

[設定]ー[役割とスコープ]ー[役割グループ]を選択

 

[インサイダーリスク管理]ー[フォレンジック エビデンス]ー[フォレンジック エビデンス設定]

フォレンジック エビデンスのキャプチャ：[オン]有効化
ウィンドウをキャプチャしています：[10秒 / 30秒 / 1分 / 3分 / 5分]
アップロード帯域幅の制限[100MB / 250MB / 500MB / 1GB / 2GB]※アップロード上限
オフラインキャプチャのキャッシュ制限[100MB / 250MB / 500MB / 1GB / 2GB]

 

 

---

Step２：デバイスオンボーディング＆Purviewクライアントインストール

 

先ずは、対象となるセッションホストを登録するためにスクリプトをダウンロードします。

[設定]ー[デバイスのオンボード]ー[パッケージをダウンロード]を選択

 

スクリプトをセッションホストで実行

 

成功すると[設定]ー[デバイス]画面に表示されます。2,3分ほどかかる

 

 

次に、フォレンジック エビデンス用のクライアントをインストールします。

[インサイダーリスク管理]ー[フォレンジック エビデンス]ー[クライアントのインストール]ー
[Windows用 Microsoft Purview クライアント]をダウンロード

 

セッションホストにインストール

 

[Microsoft Purview Client Service]が確認できる

 

[ポリシー同期の状態]が更新済みとなります。
※[有効なユーザー]を[有効]にするには、一度セッションホストにサインインする必要がある

 

 

Web閲覧キャプチャ用のブラウザ拡張機能　[Microsoft Edge]

 

Web閲覧キャプチャ用のブラウザ拡張機能　[Google Chrome]

 

[デバイスの正常性]から、準備OKな端末が確認できる

 

 

---

Step３：フォレンジック エビデンス のポリシー作成

 

[インサイダーリスク管理]ー[フォレンジック エビデンス]ー[フォレンジック エビデンス ポリシー]ー[+フォレンジックエビデンス エビデンス ポリシーの作成]を選択

 

特定のアクティビティ：キャプチャするアクティビティを個別に指定できる。
すべてのアクティビティ：指定できる全てのアクティビティが対象となる。

 

[インジケーターを有効にする]を選択

 

[保存]を選択　※選択できるアクティビティが増える

 

キャプチャしたいアクティビティを選択
※最初に[すべてのアクティビティ]を選んだ場合、ここは全て選択される

 

デスクトップアプリ：パス指定したアプリ(exe)を実行するとキャプチャ開始。最大25個
アプリとWebサイト：指定したURLを閲覧するとキャプチャ開始。最大25個
※最初に[すべてのアクティビティ]を選んだ場合、ここは除外設定となる

 

 

 

 

---

Step４：フォレンジック エビデンス のリクエスト作成＆承認

 

フォレンジック エビデンスの対象ユーザー/グループを決める工程

[要求を作成]を選択

[+ユーザーとグループを追加する]を選択。テナント内のアカウントが表示される

 

作成したポリシーを割り当てる

 

 

対象となるユーザーに対して事前にメール通知を行う事が可能

 

フォレンジック エビデンスの[承認]作業

[インサイダーリスク管理]ー[フォレンジック エビデンス]ー[保留中の要求]

 

対象ユーザーと対象ポリシーが確認できる

 

---

確認してみましょう！

 

[キャプチャしたクリップをレビューする]を選択

 

フォレンジック エビデンス ポリシー で指定したアクティビティに合致した操作がキャプチャされています。

 

アクティビティを選択すると、連続した画像データを動画のように再生できます。

 

動画のように、右側にある画像ファイルが次々と再生されます。
※画像は、USBドライブへコピーしているところ。バッチリ検知している！

 

ちなみに、エクスポートすると、動画ファイル[MP4]になってる。