Instantáneas forenses

Las instantáneas forenses extraen datos de un registro de Sophos de la actividad de un ordenador para que pueda realizar su propio análisis.

Puede crear una instantánea forense a partir de un caso de amenaza o desde la ficha Estado en la página de detalles de un dispositivo.

En la página Configuración global > Instantáneas forenses, puede configurar cuántos datos desea en sus instantáneas y dónde quiere colocarlas.

Nota Es posible que las opciones de configuración aún no estén disponibles para todos los clientes.

Definir el período de tiempo para la instantánea forense

De forma predeterminada, una instantánea incluye datos de las dos semanas anteriores.

Aquí puede establecer un período de tiempo distinto u optar por incluir todos los datos disponibles.

Cargar instantánea forense en un bucket de S3 de AWS

De forma predeterminada, las instantáneas se guardan en el ordenador local.

Puede cargar las instantáneas en un bucket de S3 de AWS en su lugar. Esto le permite acceder a las instantáneas fácilmente en una ubicación centralizada en lugar de acceder a cada ordenador.

  1. Introduzca el nombre del bucket de S3 y el directorio donde desea cargar las instantáneas.
  2. Acceda a su consola AWS y cree un nuevo rol IAM. Debe incluir los detalles de la cuenta de proxy de Sophos que colocará los datos de las instantáneas en el bucket de S3. Utilice el ID de cuenta AWS y el ID externo de AWS que facilitamos.

    Para obtener información detallada acerca de cómo configurar un bucket de AWS S3 para poder cargar instantáneas, consulte Cargar una instantánea forense en un bucket de AWS S3 .

  3. Vuelva a la página Instantáneas forenses e introduzca su ARN (nombre de recurso de Amazon).
  4. Haga clic en Guardar.
Nota Si utiliza Sophos XG Firewall, puede bloquear el tráfico al bucket de S3. En ese caso, actualice la política del firewall para autorizar este tráfico.
Restricción Una limitación establecida por AWS significa que el tiempo de carga se agota si tarda más de una hora. Esto es más probable si los datos de la instantánea cubren un período de tiempo largo.