Azure remote collecting using AXIOM Cyber

AXIOM Cyber를 이용한 Azure 원격 수집은 총 4단계(케이스 생성 ➡ 수집 범위 지정 ➡ 클라우드 설정 ➡ 수집)로 이뤄진다.

[그림 1] AXIOM Cyber를 이용한 클라우드 원격 수집 단계

1. 케이스 생성

케이스 생성은 AXIOM으로 이미지 프로세싱할 때와 동일하게 생성한다. AXIOM Cyber으로 원격 수집 시 대상의 전체 용량이 수집되기 때문에, 케이스의 저장 위치를 정할 때는 수집할 데이터보다 큰 용량의 폴더를 선택해야 한다.

케이스 생성 이후 수집 형태를 선택할 때 아래 사진처럼 Remote Computer라는 항목이 활성화되어 있지 않다면 보유하고 있는 AXIOM의 라이선스에 AXIOM Cyber가 포함되는지 확인해야 한다.

[그림 2] AXIOM Cyber 라이센스가 활성화된 모습
💡
AXIOM Cyber로 클라우드 원격 수집
AXIOM Cyber로 클라우드를 원격 수집할 때는 Remote Computer 를 눌러 수집하는 것이 아니라, Cloud를 눌러 수집하고자 하는 클라우드에 로그인해 접근 후 수집하는 방식이다.

2. 수집 범위 지정

💯
용어 정리
- Application ID(= Client ID) : 생성한 Application에 대한 ID
→ AXIOM에서 Azure Virtual Machine에 접근 및 수집하는 데에 필요
- Tenant ID : Azure Activity Directory의 GUID
→ Azure Activity Directory : 디렉터리 내 사용자에게 할당한 정책 및 권한 관리 DB
- Subscription ID : 사용하고 있는 라이선스에 대한 ID
- Client secret : 사용자 자격 증명 정보

클라우드를 원격 수집할 때는 Agent를 배포해 수집하지 않고, 클라우드에 로그인해 수집을 진행한다. Azure의 경우, 로그인을 위해 Application ID, Tenant ID, Subscription ID, Client secret 값을 확인해야 한다. ID 값을 이용해 로그인하면 수집할 Azrue VM을 선택할 수 있다.

[그림 3] AXIOM으로 Azure 로그인을 위한 ID 값 입력 화면
✔️
Client secret 확인
로그인을 위해 필요한 값 중 Client secret는 생성 직후 창에서만 확인 가능하기 때문에, Microsoft는 Client secret 값을 따로 저장 및 메모해두기를 권장한다. 만약 사용자가 Client secret 값을 따로 저장해두지 않아 확인을 못하는 상황이라면, 임의로 클라이언트 암호를 생성해 Client secret 값을 확인하는 것도 하나의 방법이 될 수 있다.

3. 클라우드 설정

원활한 원격 수집을 위해 수집을 진행하기 전 아래와 같은 설정을 해야 한다.

AXIOM으로 Cloud를 원격 수집하려면 마그넷 권한이 포함된 역할을 생성하고, 이를 Application에 할당해야 한다. 마그넷 권한이 포함된 역할은 사용자 지정 역할로써, role.json 파일로 권한을 부여해준 역할이다. 역할 생성할 때 할당 가능한 범위는 VM이 속해 있는 구독 범위로 지정해야 한다. 이후 생성한 역할을 수집하고자 하는 Application에 부여하면 된다.

💡
role.json 파일
마그넷에서 제공하는 json 파일이며, Azure VM을 수집할 수 있게 Magnet AXIOM 권한을 부여해주는 파일
(다운로드 링크 : https://support.magnetforensics.com/s/article/Find-Azure-authentication-details)

4. 수집

수집 대상에 대한 세부적인 프로세싱 설정 부분은 AXIOM으로 이미지 프로세싱할 때와 동일하게 원하는 옵션을 선택한다.

Azure 프로세싱 오류(4월 20일 기준)
Azure 프로세싱 진행 시 Time out 에러가 발생하면서 AXIOM이 중단된다. 관련해서 Magnet 측에서는 오류 수정 중에 있으며, 추후 오류 수정이 완료되고 정상적으로 수집이 진행될 때 글을 업데이트할 예정이다.

You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.