Forensische Snapshots

Forensische Snapshots rufen Daten aus einem Sophos-Protokoll über die Aktivität des betroffenen Computers ab. Sie können dann Ihre eigene Analyse durchführen.

Sie können einen forensischen Snapshot aus einem Bedrohungsfall oder von der Registerkarte Status auf der Seite mit den Gerätedetails erstellen.

Auf der Seite Globale Einstellungen > Forensische Snapshots können Sie Datenmenge und Speicherort forensischer Snapshots konfigurieren.

Anmerkung Die Konfigurationsoptionen sind unter Umständen noch nicht für alle Kunden verfügbar.

Zeitraum für forensische Snapshots festlegen

Standardmäßig erfassen Snapshots die Daten der letzten beiden Wochen.

In diesem Bereich können Sie einen anderen Zeitraum festlegen oder angeben, dass alle verfügbaren Daten einbezogen werden sollen.

Forensischen Snapshot in einen AWS-S3-Bucket hochladen

Standardmäßig werden Snapshots auf dem lokalen Computer gespeichert.

Sie können Snapshots jedoch auch in einen AWS-S3-Bucket hochladen. So können Sie Ihre Snapshots ganz einfach an einem zentralen Speicherort abrufen.

  1. Geben Sie den Namen des S3-Buckets sowie das Verzeichnis an, in das Sie Ihre Snapshots hochladen möchten.
  2. Erstellen Sie auf Ihrer AWS-Konsole eine neue IAM-Rolle. Sie müssen die Daten des Sophos Proxy-Kontos angeben, das die Snapshot-Daten in Ihren S3-Bucket ablegt. Geben Sie die AWS Konto-ID und AWS Externe ID ein, die wir bereitgestellt haben.

    Ausführliche Informationen zum Einrichten eines AWS S3-Bucket, damit Sie Snapshots hochladen können, finden Sie unter Hochladen eines forensischen Snapshots in einen AWS S3-Bucket.

  3. Rufen Sie erneut die Seite Forensische Snapshots auf und geben Sie Ihren ARN (Amazon Resource Name) ein.
  4. Klicken Sie auf Speichern.
Anmerkung Wenn Sie Sophos XG Firewall verwenden, blockiert dies möglicherweise den Datenverkehr zum S3 Bucket. Aktualisieren Sie in diesem Fall die Richtlinie der Firewall, um diesen Datenverkehr zuzulassen.
Einschränkung Eine von AWS festgelegte Einschränkung bedeutet, dass Uploads abgebrochen werden, wenn sie länger als eine Stunde dauern. Dies ist wahrscheinlicher, wenn die Daten im Snapshot einen langen Zeitraum umfassen.