Hochladen eines forensischen Snapshots in einen AWS S3-Bucket
Befolgen Sie diese Anweisungen, um einen forensischen Snapshot hochzuladen.
Einleitung
Standardmäßig werden Snapshots auf dem lokalen Computer gespeichert. Sie können Snapshots jedoch auch in einen AWS S3-Bucket hochladen. So können Sie Ihre Snapshots ganz einfach an einem zentralen Speicherort abrufen.
Zum Hochladen von Snapshots benötigen Sie einen verfügbaren AWS S3-Bucket. Führen Sie folgende Schritte aus:
- Erstellen Sie eine verwaltete Richtlinie in AWS.
- Fügen Sie Ihr AWS-Konto zu Sophos Central hinzu.
- Erstellen Sie eine AWS Bucket-Richtlinie, um den Zugriff auf den S3-Bucket zu beschränken.
Erstellen einer verwalteten Richtlinie
Anhand der folgenden Anweisungen können Sie eine verwaltete Richtlinie in AWS erstellen.
So erstellen Sie eine verwaltete Richtlinie:
Hinzufügen eines AWS-Kontos zu Sophos Central
Folgen Sie diesen Anweisungen, um Ihr Amazon Web Services (AWS)-Konto zu Sophos Central hinzuzufügen.
So fügen Sie Ihr Konto hinzu:
- Gehen Sie in Sophos Central zu Globale Einstellungen und klicken Sie auf Forensische Snapshots.
- Aktivieren Sie Forensischen Snapshot in einen AWS-S3-Bucket hochladen.
- Notieren Sie sich AWS Konto-ID und AWS Externe ID.
-
Erstellen Sie in Amazon Web Services die IAM-Rolle wie folgt:
- Sie müssen warten, bis diese Rolle auf alle Regionen in AWS übertragen wird, bevor Sie das Konto zu Sophos Central hinzufügen können. Dies kann bis zu fünf Minuten dauern.
-
Gehen Sie in Sophos Central auf der Seite Forensische Snapshots wie folgt vor:
- Geben Sie den Namen des S3-Bucket ein. Dieser muss mit dem Namen des Bucket in der verwalteten Richtlinie übereinstimmen.
- Geben Sie optional einen Namen für das Bucket-Verzeichnis ein, in das die Snapshots in den S3-Bucket hochgeladen werden sollen.
- Geben Sie die Rolle ARN ein, die in AWS erstellt wurde.
- Klicken Sie auf Speichern.
Erstellen einer Bucket-Richtlinie
Wir empfehlen, eine Bucket-Richtlinie zu erstellen, um den Zugriff auf den S3-Bucket zu beschränken, in den Sie forensische Snapshots hochladen möchten.
So schränken Sie den Zugriff ein:
{
"Version":"2012-10-17",
"Id":"S3PolicyIPRestrict",
"Statement":[
{
"Sid":"IPAllow",
"Effect":"Allow",
"Principal":{
"AWS":"*"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::<bucket-name>",
"Condition":{
"IpAddress":{
"aws:SourceIp":"192.168.143.0/24"
}
}
},
{
"Sid":"AllowRead",
"Action":[
"s3:GetObject"
],
"Effect":"Allow",
"Resource":"arn:aws:s3:::<bucket-name>",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:root"
]
}
}
]
}
Diese Richtlinie:
- Erlaubt nur den angegebenen IP-Adressen, Snapshots in den Bucket hochzuladen. Hierbei handelt es sich um die nach außen gerichteten IP-Adressen von Endpoints oder Firewalls.
- Erlaubt nur autorisierten Personen den Zugriff auf die Snapshots im Bucket.
Gibt es Probleme, die mir bekannt sein sollten?
- Das Hochladen in Buckets mit KMS-Verschlüsselung wird nicht unterstützt, aber die AES-256-Verschlüsselung wird unterstützt. Sie müssen die AES-256-Verschlüsselung auf einem S3-Bucket nicht aktivieren, wir empfehlen dies aber. Sophos lädt Snapshots mit einem AES-256-Verschlüsselungsheader hoch.
- Sonderzeichen für Bucket-Namen werden nicht unterstützt. Eine Liste der zulässigen Zeichen finden Sie unter Objektschlüssel und Metadaten.
- Aufgrund einer Beschränkung in AWS wird der Upload von Snapshots, die länger als 1 Stunde zum Hochladen benötigen, abgebrochen. Dies ist umso wahrscheinlicher, je größer der Zeitraum ist, den Sie für den Snapshot gewählt haben.
- Wenn Sie eine Firewall in Ihrer Umgebung haben, überprüfen Sie, ob Ihre Regeln das Hochladen von Snapshots in den AWS S3-Bucket zulassen.