Manualshelf

Users Guide

ManualsBrandsDell ManualsSoftwareDell Digital Forensics Solution
919293949596979899100
Archivage 89
A la fin de la procédure en arrière-plan, l'icône affectée au fichier devient grise
pour indiquer clairement à l'utilisateur que le fichier a été archivé. Toutefois,
le dossier et la structure de fichiers sont toujours visibles pour que l'utilisateur
puisse retrouver aisément le fichier à des fins de restauration. Pour restaurer
un fichier, l'utilisateur navigue simplement dans la structure des dossiers
d'origine, recherche le dossier ou le fichier à restaurer, clique avec le bouton
droit de la souris sur le fichier ou le dossier et sélectionnez l'option de
restauration.
Dell recommande de placer tous les fichiers de preuve et d'affaire sur un
périphérique NAS central évolutif permettant d'utiliser un point de stockage
central extensible facilitant la collaboration entre les analystes. Cette
recommandation permet aussi de disposer d'un seul point d'audit pour la
chaîne de conservation. Lorsqu'un fichier est sélectionné pour être archivé, il
est transféré vers la fenêtre de traitement disponible suivante du stockage
principal vers l'option secondaire (bande ou périphérique quasi en ligne).
La vitesse d'archivage et de rappel varie considérablement en fonction du
trafic vers et depuis le stockage NAS central, les fichiers à archiver et le type
de support de l'option de stockage secondaire. Par exemple, SATA quasi en
ligne est plus rapide que les bandes. Tous les fichiers peuvent être chiffrés sur
bande pour renforcer la sécurité lorsqu'ils restent archivés longtemps dans la
solution, ce qui peut nécessiter d'autres licences.
Recommandations de sauvegarde Dell
Sauvegardes fichiers de preuve et d'affaire
Un laboratoire utilise trois types de fichiers principaux :
Fichiers images : il s'agit des images sûres d'investigation du périphérique
incriminé. Une fois incorporés, ils ne changent jamais et ils ne doivent être
sauvegardés qu'une seule fois (extensions possibles :
E01
,
DD
, etc.). Les
fichiers de preuve sont généralement moins nombreux, mais plus volumineux.
Fichiers d'affaire : il s'agit des fichiers de données et des index résultant des
analyses ; il peut être nécessaire de les exporter de l'application d'investigation.
Les fichiers changent fréquemment si l'affaire est active et ils peuvent
contenir plusieurs types d'extension, ce qui implique qu'ils doivent être
sauvegardés tous les jours. Les fichiers d'affaire sont généralement nombreux,
mais de petite taille.