Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia básico de investigação computacional para Windows

Visão geral

Publicado em: 11 de janeiro de 2007

Os avanços tecnológicos e a conectividade à Internet têm deixado os computadores e as redes de computadores expostos a atividades criminosas, como invasões não autorizadas, fraudes no sistema financeiro e roubo de identidade e de propriedade intelectual. Os computadores podem ser utilizados para a prática de ataques contra redes de computadores e destruição de dados. Os emails podem ser usados para importunar as pessoas, transmitir imagens pornográficas e para realizar outras atividades mal-intencionadas. Tais atividades expõem as organizações a riscos de ordem ética, legal e financeira, obrigando-as muitas vezes a realizar investigações computacionais internas.

Este guia discute os processos e as ferramentas a serem utilizados nas investigações computacionais internas. Ele introduz um modelo de múltiplas fases, baseado em procedimentos com boa aceitação na comunidade investigativa computacional. Também apresenta um exemplo de cenário aplicado de uma investigação interna em um ambiente que inclui os computadores baseados no Microsoft® Windows®. A investigação utiliza as ferramentas Windows Sysinternals (utilitários avançados que podem ser empregados para examinar os computadores baseados em Windows) bem como as ferramentas e comandos disponíveis no Windows.

Algumas das políticas e procedimentos usados nas investigações resultantes de incidentes de segurança computacional poderão existir também nos planos de recuperação de desastres. Embora esses planos estejam fora do escopo deste guia, é importante para as organizações estabelecerem procedimentos que possam ser usados em situações de emergência ou de desastre. As organizações devem também identificar e gerenciar os riscos de segurança sempre que possível. Para obter mais informações, consulte o Guia de gerenciamento de riscos de segurança.

Nesta página

Modelo de investigação computacional
Processo de tomada de decisão inicial
Resumo do capítulo
Público-alvo
Advertências e avisos de isenção de responsabilidade
Créditos e referências
Convenções de estilo
Suporte e comentários

Modelo de investigação computacional

Segundo Warren G. Kruse II e Jay G. Heiser, autores de Computer Forensics: Incident Response Essentials, forenses computacionais são "a preservação, identificação, extração, documentação e interpretação dos meios relacionados ao computador para a análise da causa raiz e/ou das evidências." O modelo de investigação computacional apresentado na figura a seguir organiza os diferentes elementos forenses computacionais em um fluxo lógico.

Modelo de investigação computacional

As quatro fases de investigação e de acompanhamento dos processos mostradas na figura devem ser aplicadas quando se trabalha em cima de evidências digitais. As fases podem ser resumidas conforme descrito a seguir:

  • Avaliar a situação. Análise do escopo da investigação e ação a ser adotada.

  • Obter dados. Reunião, proteção e preservação das evidências originais.

  • Analisar dos dados. Exame e correlação das evidências digitais com os eventos de interesse que irão auxiliá-lo na elaboração do caso.

  • Relatar a investigação. Reunião e organização das informações coletadas que irão compor o relatório final.

Informações detalhadas sobre cada uma das fases se encontram disponíveis nos capítulos deste guia.

Processo de tomada de decisão inicial

Antes de iniciar cada uma das fases de investigação geral, deve-se aplicar o processo de tomada de decisão inicial mostrado na figura a seguir.

Processo de tomada de decisão inicial

Você deve determinar se envolverá ou não as autoridades, com o auxílio dos consultores jurídicos. Caso o envolvimento das autoridades seja necessário, você deverá prosseguir com as investigações internas, a menos que as autoridades lhe aconselhem o contrário. Talvez as autoridades não estejam disponíveis para auxiliar na investigação do incidente, por isso é necessário que você continue a gerenciar o incidente e a investigação para a submissão posterior às autoridades.

Dependendo do tipo de incidente investigado, a preocupação inicial deve ser evitar novos danos à organização por parte daqueles que causaram o incidente. A investigação é importante, mas em primeiro lugar vem a proteção da organização, a menos que existam questões de segurança nacional envolvidas.

Se as autoridades não estiverem envolvidas, a sua organização deverá possuir políticas e procedimentos operacionais padrão que guiem o processo investigativo. Consulte a seção "Crimes relacionados ao uso de computadores" em Apêndice: Recursos neste guia para os tipos de crimes que precisam ser relatados às autoridades.

Resumo do capítulo

Este guia é composto de cinco capítulos e um apêndice, que são descritos brevemente na lista apresentada a seguir. Os quatro primeiros capítulos oferecem informações sobre as quatro fases do processo investigativo interno:

Público-alvo

Este guia é dirigido aos profissionais de TI que necessitam de uma compreensão geral sobre as investigações computacionais, incluindo vários dos procedimentos que podem ser utilizados em tais investigações e protocolos para relatar os incidentes.

Advertências e avisos de isenção de responsabilidade

Este guia não constitui uma orientação jurídica e não substitui assessoria jurídica específica ou consultas com advogados. Procure sempre consultar os seus assessores jurídicos antes de decidir pela implementação de qualquer um dos processos descritos. As ferramentas e tecnologias descritas neste guia são as mais atuais até a data do seu lançamento, e estão sujeitas à alteração posterior.

Também é importante compreender que as restrições jurídicas podem limitar a sua capacidade de implementar tais procedimentos. Por exemplo, os Estados Unidos possuem várias leis relacionadas aos direitos das pessoas suspeitas de cometer atos ilícitos. A menos que as restrições legais estejam especificamente mencionadas nas políticas e procedimentos estabelecidos pela organização, é importante que se obtenha aprovações por escrito de valor judicial de seus consultores jurídicos, gerentes, e principais acionistas para toda a investigação interna.

Dd458998.note(pt-br,TechNet.10).gif Observação

Este guia não inclui informações sobre o desenvolvimento dos procedimentos e políticas em resposta ao incidente, orientação quanto à geração de imagens de dados específicos do produto, orientação sobre a criação de um laboratório forense, ou sobre investigações em ambientes de outros sistemas operacionais além do Windows. Para obter informações sobre o desenvolvimento de procedimentos e políticas em resposta ao incidente, consulte o site Microsoft Operations Framework (MOF).

Créditos e referências

As informações contidas neste guia se baseiam nas informações fornecidas por especialistas reconhecidos da indústria e por outras orientações, incluindo as seguintes publicações:

Convenções de estilo

Essa orientação utiliza as convenções de estilo descritas na tabela a seguir.

Elemento

Significado

Fonte em negrito

Indica caracteres digitados exatamente como mostrados, incluindo comandos, comutadores e nomes de arquivos. Os elementos de interface do usuário também são identificados em negrito.

Fonte em itálico

Os títulos de livros e outras publicações substanciais aparecem em itálico.

<Itálico>

Os espaços reservados em itálico e entre colchetes <Itálico> representam as variáveis.

Monospace font 

Define as amostras de scripts e códigos.

Observação

Adverte o leitor para as informações suplementares.

Importante

Adverte o leitor para as informações suplementares que são essenciais.

Suporte e comentários

A equipe do SASC (Solution Accelerators – Security and Compliance) deseja saber a sua opinião sobre este e outros Solution Accelerators. Contribua enviando os seus comentários e sugestões para secwish@microsoft.com. Aguardamos contato.

O Solution Accelerators fornece orientação prescritiva e automação para a integração dos produtos cruzados. Ele oferece conteúdo e ferramentas de eficácia comprovada para que você possa planejar, elaborar, implantar e realizar as operações de tecnologia da informação de maneira segura. Para visualizar a grande variedade de Solution Accelerators e para obter informações adicionais, visite a página Solution Accelerators no Microsoft TechNet.


Download

Obtenha o guia básico de investigação computacional para Windows

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie-nos seus comentários ou suas sugestões


Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft