A finalidade do recurso de seleção de suspensão forense é fornecer dados precisos e não modificados para necessidades legais, de segurança e operacionais. O caso de uso com suporte no momento permite a captura em tempo real de dados associados à área de trabalho de um usuário periodicamente quando um usuário é colocado em uma retenção selecionada por motivos legais, de resposta a incidentes ou operacionais. Colocar um usuário em espera de seleção forense torna as áreas de trabalho do usuário temporariamente persistentes, evitando a atualização ou exclusão (“re-imagem”) da área de trabalho e fornecendo ao administrador a capacidade de acessar a área de trabalho do usuário para fins de investigação com impacto mínimo para o usuário. experiência.

Como o recurso Select Hold do forense funciona

  • Controle de acesso baseado em função

    O recurso de análise forense é controlado pelo privilégio global FORENSICS. O superadministrador pode atribuir esse privilégio a outro administrador, conhecido como administrador forense, mas esse privilégio não está ativado para o superadministrador por padrão. Para obter mais informações, consulte "Privilégios Globais" no documento Administração do Horizon 8.

  • Armazenamento de dados de arquivamento

    O datastore de arquivamento é um NFS montado ou VMFS definido globalmente no LDAP. Horizon 8 lê essa configuração do LDAP para determinar onde colocar os dados arquivados. Por padrão, a configuração é usar o mesmo armazenamento de dados no qual o pool está.

  • Selecionar fluxo de trabalho em espera
    • Colocando usuários em espera
      Uma retenção só pode ser aplicada em um nível de usuário do AD individual. Quando o administrador forense coloca um usuário em espera usando a API, ocorre o seguinte:
      • Se o usuário já estiver usando uma VM, a retenção se aplicará à VM à qual ele está conectado no momento e a quaisquer outras VMs atribuídas ao usuário.
      • Quando esse usuário faz login em uma VM, Horizon 8 altera o estado da VM de clone instantâneo de sem estado para com estado, mas deixa a VM com estado em seu pool original.
      • O usuário em espera continua a fazer login novamente na mesma VM e a ver todas as alterações anteriores feitas na área de trabalho. Horizon 8 não altera o conteúdo da VM de forma alguma.
      • Um indicador de status no console de administração mostra que a VM está em espera.
      • A VM é marcada em vCenter para que os administradores de vCenter saibam que não devem alterá-la.
    • Durante o período de retenção
      Depois que um usuário é colocado em espera, a equipe forense pode acessar a área de trabalho com monitoramento de estado para investigação, bem como capturar os dados dinâmicos em tempo real. Para essa captura de dados, o administrador forense tem as seguintes opções.
      • Use a API Archive. A API Archive pode funcionar em várias VMs e vários usuários. Você só pode arquivar uma VM individual quando o usuário não estiver conectado. Se o usuário estiver conectado, o comando de arquivamento precisará ser adiado até que o usuário faça logout.
        A operação de arquivamento é a seguinte:
        • A VM foi encerrada.
        • Todos os discos são consolidados.
        • Todos os snapshots são consolidados.
        • O arquivo VMDK é copiado para o local de arquivamento selecionado.
        • A VM é sincronizada novamente com a imagem de destino.
      • Use seus próprios scripts ou ferramentas de terceiros. Nesse caso, você pode optar por arquivar apenas a memória do hipervisor, apenas os VMDKs das VMs ou a memória do hipervisor e os VMDKs.

        A variável de ambiente isHeldUser indica se o usuário que se conecta à sessão é um usuário retido. Com base no valor dessa variável, você pode acionar scripts de coleta de dados quando um usuário retido faz logon em uma área de trabalho. Um script pode ser disparado quando o Serviço do Host de Scripts está em execução na VM do Servidor de Conexão. Para obter mais informações, consulte Ativar o VMware Horizon View Serviço de Host de Script no documento Recursos e GPOs da Área de Trabalho Remota Horizon.

      Coisas a serem observadas durante o período de retenção:
      • Uma VM retida não pode ser atualizada, recuperada, removida ou colocada no modo de manutenção. Isso se aplica apenas à VM retida, não a quaisquer outras VMs no mesmo pool.
      • Um pool que contém VMs retidas não pode ser excluído.
      • Quando o recurso de redução automática do pool é definido, Horizon 8 prioriza a VM retida para que ela não seja perdida.
      • Quando o pool de clones instantâneos precisa passar por uma atualização de pool ou atualização de patch, há duas opções possíveis:
        • Quando um pool que contém VMs retidas precisa ser atualizado e o datastore de arquivamento não está definido, a imagem push ignora as VMs com estado. Isso preserva as VMs sob retenção para fins de análise forense, e o usuário continua sendo direcionado para a VM persistente quando faz login. Essas VMs devem ser corrigidas com ferramentas separadas, como VMs persistentes.
        • Quando um pool que contém VMs retidas precisa ser atualizado e o datastore de arquivamento é definido, o Horizon 8 primeiro executa uma imagem push em todas as outras VMs no pool e, em seguida, arquiva as VMs retidas. Depois que as VMs retidas forem arquivadas, o Horizon 8 realizará um processo normal de imagem push nelas. Na próxima vez que o usuário retido fizer login novamente, ele obterá uma VM nova, que se transformará em uma VM com estado, e o processo será repetido. Observe que sempre que uma operação de patch ocorre, é necessário armazenamento adicional para copiar e arquivar a VM com estado.
    • Removendo usuários da espera

      Quando o administrador forense libera um usuário da suspensão usando a API, ocorre o seguinte.

      • Horizon 8 transforma a VM novamente em uma VM sem estado.
      • No próximo logoff do usuário, a VM é excluída e recriada a partir da golden image, revertendo assim para um estado original.
  • Operações forenses no banco de dados de eventos

    Todas as operações, incluindo a concessão do privilégio FORENSICS e a retenção/liberação de usuários, são capturadas no banco de dados de Eventos. Isso pode ser usado para notificar quaisquer scripts que precisem ser executados.

Usando APIs para executar funções de retenção de seleção forense

Você pode usar as APIs do Horizon para executar a retenção de seleção forense conforme descrito abaixo. Para cada API, há um link para sua documentação no site VMware {code}.

  • Criar função de administrador forense e atribuir um usuário
    1. Crie a função personalizada de administrador judicial usando a seguinte API:
      /config/v1/roles

      A documentação para esta API pode ser encontrada aqui.

    2. Atribua a função de Administrador Forense personalizada seguindo as instruções em "Criar um Administrador em Horizon Console" no guia Administração do Horizon 8.
  • Designar um datastore para arquivamento
    Para designar um datastore para arquivamento de discos virtuais e memória, use a seguinte API:
    /config/v1/virtual-centers/{id}/action/mark-datastores-for-archival

    A documentação para esta API pode ser encontrada aqui.

  • Colocar usuário em espera
    Para colocar um usuário em espera, use a seguinte API:
    /external/v1/ad-users-or-groups/action/hold
    A API retorna a ID da área de trabalho, a ID do pool e o estado da máquina para todas as áreas de trabalho atribuídas ao usuário retido. Você pode usar essas informações de alerta para acionar a coleta de dados com script. A documentação para esta API pode ser encontrada aqui.

    Em vCenter, a tag ForensicHold é aplicada a todas as VMs usadas por usuários retidos.

  • Arquivar o disco virtual e a memória de uma VM
    Para arquivar o disco virtual e a memória de uma VM, use a seguinte API:
    /inventory/v1/machines/action/archive

    A documentação para esta API pode ser encontrada aqui.

    • O arquivamento ocorre quando o usuário faz logout da VM retida.
    • Quando as VMs forem arquivadas, elas serão mostradas dentro da pasta Archive no repositório de dados de arquivamento (conforme especificado acima na API) em vCenter.
    • Se uma VM tiver mais de um disco, somente o disco primário será arquivado. O arquivamento de vários discos não é compatível com esta versão.
  • Liberar usuário da espera
    Para liberar um usuário da retenção, use a seguinte API:
    /external/v1/ad-users-or-groups/action/release-hold

    A API retorna a ID da área de trabalho, a ID do pool e o estado da máquina para todas as áreas de trabalho atribuídas ao usuário retido. Você pode usar essas informações de alerta para acionar a coleta de dados com script. A documentação para esta API pode ser encontrada aqui.

  • Listar usuários retidos
    Para listar usuários retidos, use a seguinte API:
    /external/v1/ad-users-or-groups/held-users-or-groups

    A documentação para esta API pode ser encontrada aqui.

  • Listar máquinas retidas
    Para produzir uma lista de máquinas atualmente em espera, use a seguinte API:
    /inventory/v3/machines

    A documentação para esta API pode ser encontrada aqui.

    Observação: Essa API retorna todas as máquinas. Na resposta, as VMs em espera têm o valor "held_machine": true.