Отправка ESXi Snapshot сторонней команде экспертов
Недавно у нас произошла пара событий безопасности, и мы сразу сделали снимок виртуальной машины, поскольку хотели сохранить как можно больше данных. Теперь мы хотели бы отправить его сторонней экспертной группе, чтобы определить уровень компромисса.
Мои вопросы: достаточно ли отправить им копию файла снимка для проведения криминалистического анализа?
Какие файлы необходимы для включения виртуальной машины?
Любая помощь с этим будет принята с благодарностью!
2 ответа
Хотя я не совсем уверен, каких файлов будет достаточно для запуска виртуальной машины ("минимальный" набор файлов ") - если под файлом моментального снимка вы подразумеваете файл, который создается при создании моментального снимка: этого недостаточно! Это только инкрементное изменение, которое было внесено в виртуальный диск с момента создания моментального снимка. И без базового диска этот файл бесполезен.
Насколько мне известно, для запуска виртуальной машины важнее всего файлы.vmx (файл конфигурации виртуальной машины) и файлы.vmdk (виртуальные жесткие диски (также содержащие файлы моментальных снимков). Поскольку файлы vmdk являются самыми большими файлами в этих папках, и, поскольку вам определенно нужны эти файлы, я бы предложил скопировать / экспортировать всю папку целиком. Даже файлы журналов могут быть интересны для анализа, в зависимости от типа "событий безопасности", которые произошли с вами.
Не по умолчанию, нет. Файлы снимков - это просто файлы журналов инкрементных изменений. В будущем вам нужно приостановить работу виртуальной машины, а затем скопировать файл.vmss в свое хранилище.
Большинство, если не все коммерческие поставщики и службы судебной экспертизы имеют инструменты, необходимые для преобразования.vmss в работоспособный дамп памяти с ведением журналов. Скорее всего, они не "включат питание", так как для этого потребуются дополнительные файлы.