Hochladen eines forensischen Snapshots in einen AWS S3-Bucket

Befolgen Sie diese Anweisungen, um einen forensischen Snapshot hochzuladen.

Anmerkung Diese Option ist derzeit nur für Windows-Computer verfügbar und erfordert Core Agent 2.5.0 und höher.

Standardmäßig werden Snapshots auf dem lokalen Computer gespeichert. Sie können Snapshots jedoch auch in einen AWS S3-Bucket hochladen. So können Sie Ihre Snapshots ganz einfach an einem zentralen Speicherort abrufen.

Zum Hochladen von Snapshots benötigen Sie einen verfügbaren AWS S3-Bucket. Führen Sie folgende Schritte aus:

  • Erstellen Sie eine verwaltete Richtlinie in AWS.
  • Fügen Sie Ihr AWS-Konto zu Sophos Central hinzu.
  • Erstellen Sie eine AWS Bucket-Richtlinie, um den Zugriff auf den S3-Bucket zu beschränken.

Weitere Informationen zu Bedrohungsgraphen finden Sie unter Analyse des Bedrohungsgraphen.

Erstellen einer verwalteten Richtlinie

Verfahren Sie zur Erstellung einer verwalteten Richtlinie in AWS wie folgt:

  1. Gehen Sie im Amazon Web Services (AWS)-Dashboard zu IAM, das unter Sicherheit, Identität und Compliance aufgeführt ist.
  2. Klicken Sie in der Navigationsleiste auf der linken Seite auf Richtlinien.
  3. Klicken Sie auf Richtlinie erstellen.
  4. Klicken Sie auf JSON.
  5. Fügen Sie die folgende Richtlinie hinzu: 
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutObject",
            "Effect": "Allow",
            "Action": [ 
               "s3:PutObject",
               "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket-name>",
                "arn:aws:s3:::<bucket-name>/*"
            ]
        }
    ]
}
    Anmerkung Sie müssen <bucket-name> durch den Namen des Bucket ersetzen, in den Ihre Snapshots hochgeladen werden.
  6. Klicken Sie auf Richtlinie überprüfen, um zu überprüfen, ob die kopierte Richtlinie gültig ist.
  7. Geben Sie der Richtlinie einen Namen.

    Beispiel: Sophos-Central-Forensic-Snapshot-Upload.

  8. Geben Sie eine Beschreibung ein.

    Beispiel: Mit dieser Richtlinie kann Sophos Central forensische Snapshots in einen bestimmten S3-Bucket hochladen.

  9. Klicken Sie auf Richtlinie erstellen.

Hinzufügen eines AWS-Kontos zu Sophos Central

Um Ihr Konto hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie in Sophos Central zu Übersicht > Globale Einstellungen und klicken Sie auf Forensische Snapshots.
  2. Aktivieren Sie Forensischen Snapshot in einen AWS-S3-Bucket hochladen.
  3. Notieren Sie sich AWS Konto-ID und AWS Externe ID.
  4. Erstellen Sie in Amazon Web Services die IAM-Rolle wie folgt:
    1. Gehen Sie im Amazon Web Services-Dashboard zu Identity & Access Management, das unter Security & Identity aufgeführt ist.
    2. Klicken Sie in der Navigationsleiste auf der linken Seite auf Rollen.
    3. Klicken Sie auf Rolle erstellen.
    4. Klicken Sie auf Weiteres AWS-Konto.
    5. Geben Sie die Konto-ID und die externe ID ein, die von Sophos Central bereitgestellt werden.
    6. Aktivieren Sie Externe ID erforderlich.
      Dies wird empfohlen, wenn ein Dritter diese Rolle übernimmt.
    7. Deaktivieren Sie MFA erforderlich.
    8. Klicken Sie auf Weiter: Berechtigungen.
    9. Fügen Sie die zuvor erstellte Richtlinie bei, und klicken Sie auf Weiter: Tags.
    10. Lassen Sie die optionalen Tags leer, und klicken Sie auf Weiter: Zusammenfassung.
    11. Geben Sie einen Rollennamen und optional eine Rollenbeschreibung ein.
    12. Klicken Sie auf Rolle erstellen, und kopieren Sie die Rolle ARN (Amazon Resource Name).
  5. Sie müssen warten, bis diese Rolle auf alle Regionen in AWS übertragen wird, bevor Sie das Konto zu Sophos Central hinzufügen können. Dies kann bis zu fünf Minuten dauern.
  6. Gehen Sie in Sophos Central auf der Seite Forensische Snapshots wie folgt vor:
    1. Geben Sie den Namen des S3-Bucket ein. Dieser muss mit dem Namen des Bucket in der verwalteten Richtlinie übereinstimmen.
    2. Geben Sie optional einen Namen für das Bucket-Verzeichnis ein, in das die Snapshots in den S3-Bucket hochgeladen werden sollen.
    3. Geben Sie die Rolle ARN ein, die in AWS erstellt wurde.
    4. Klicken Sie auf Speichern.

Erstellen einer Bucket-Richtlinie

Wir empfehlen, eine Bucket-Richtlinie zu erstellen, um den Zugriff auf den S3-Bucket zu beschränken, in den Sie forensische Snapshots hochladen möchten.

So schränken Sie den Zugriff ein:

Fügen Sie die folgende Bucket-Richtlinie hinzu: 
{ 
   "Version":"2012-10-17",
   "Id":"S3PolicyIPRestrict",
   "Statement":[ 
      { 
         "Sid":"IPAllow",
         "Effect":"Allow",
         "Principal":{ 
            "AWS":"*"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::<bucket-name>",
         "Condition":{ 
            "IpAddress":{ 
               "aws:SourceIp":"192.168.143.0/24"
            }
         }
      },
      { 
         "Sid":"AllowRead",
         "Action":[ 
            "s3:GetObject"
         ],
         "Effect":"Allow",
         "Resource":"arn:aws:s3:::<bucket-name>",
         "Principal":{ 
            "AWS":[ 
               "arn:aws:iam::123456789012:root"
            ]
         }
      }
   ]
}

Diese Richtlinie:

  • Erlaubt nur den angegebenen IP-Adressen, Snapshots in den Bucket hochzuladen. Hierbei handelt es sich um die nach außen gerichteten IP-Adressen von Endpoints oder Firewalls.
  • Erlaubt nur autorisierten Personen den Zugriff auf die Snapshots im Bucket.

Gibt es Probleme, die mir bekannt sein sollten?

  • Das Hochladen in Buckets mit KMS-Verschlüsselung wird nicht unterstützt, aber die AES-256-Verschlüsselung wird unterstützt. Sie müssen die AES-256-Verschlüsselung auf einem S3-Bucket nicht aktivieren, wir empfehlen dies aber. Sophos lädt Snapshots mit einem AES-256-Verschlüsselungsheader hoch.
  • Sonderzeichen für Bucket-Namen werden nicht unterstützt. Eine Liste zulässiger Zeichen finden Sie unter Objektschlüssel und Metadaten.
  • Aufgrund einer Beschränkung in AWS wird der Upload von Snapshots, die länger als 1 Stunde zum Hochladen benötigen, abgebrochen. Dies ist umso wahrscheinlicher, je größer der Zeitraum ist, den Sie für den Snapshot gewählt haben.
  • Wenn Sie eine Firewall in Ihrer Umgebung haben, überprüfen Sie, ob Ihre Regeln das Hochladen von Snapshots in den AWS S3-Bucket zulassen.