Cargar instantánea forense en un bucket de S3 de AWS
Siga estas instrucciones para cargar una instantánea forense.
Introducción
De forma predeterminada, las instantáneas se guardan en el ordenador local. Puede cargar las instantáneas en un bucket de S3 de Amazon Web Services (AWS) en su lugar. Esto le permite acceder a las instantáneas fácilmente en una ubicación centralizada en lugar de acceder a cada ordenador.
Para cargar instantáneas, debe contara con un bucket de S3 de AWS disponible. También deberá hacer lo siguiente:
- Cree una directiva administrada en AWS.
- Agregue su cuenta AWS a Sophos Central.
- Cree una política referente a los bucket de AWS para restringir el acceso al bucket de S3.
Cree una política gestionada.
Siga estas instrucciones para crear una política gestionada en AWS.
Para crear una política gestionada:
Agregue una cuenta de AWS a Sophos Central
Siga estas instrucciones para agregar su cuenta de Amazon Web Services (AWS) a Sophos Central.
Para agregar su cuenta:
- En Sophos Central, vaya a Configuración global y haga clic en Instantáneas forenses.
- Active Cargar instantánea forense en un bucket de S3 de AWS.
- Tome nota de ID de cuenta AWS y de ID externo de AWS.
-
En Amazon Web Services, cree el rol de IAM (Identity & Access Management) haciendo lo siguiente:
- Debe esperar a que esta función se propague a todas las regiones de AWS antes de poder añadir la cuenta a Sophos Central. El proceso puede tardar hasta 5 minutos.
-
En Sophos Central, en la página de Instantáneas forenses, haga lo siguiente:
- Introduzca el nombre del bucket de S3. Debe coincidir con el nombre del bucket en la política gestionada.
- Opcionalmente, introduzca el nombre del directorio del bucket de S3 en el que desee cargar las instantáneas.
- Introduzca el ARN del rol creado en AWS.
- Haga clic en Guardar.
Cree una política con respecto al bucket
Le recomendamos que cree una política con respecto al bucket para restringir el acceso al bucket de S3 al que desea cargar instantáneas forenses.
Para restringir el acceso:
{
"Version":"2012-10-17",
"Id":"S3PolicyIPRestrict",
"Statement":[
{
"Sid":"IPAllow",
"Effect":"Allow",
"Principal":{
"AWS":"*"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::<bucket-name>",
"Condition":{
"IpAddress":{
"aws:SourceIp":"192.168.143.0/24"
}
}
},
{
"Sid":"AllowRead",
"Action":[
"s3:GetObject"
],
"Effect":"Allow",
"Resource":"arn:aws:s3:::<bucket-name>",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:root"
]
}
}
]
}
Esta política:
- Solo permite que las direcciones IP especificadas carguen instantáneas en el bucket. Estas deben ser las direcciones IP de salida de las estaciones de trabajo o de los firewalls.
- Solo permite a personas autorizadas acceder a las instantáneas del bucket.
¿Hay alguna cuestión que deba tener en cuenta?
- No se admite la carga a buckets con cifrado KMS, pero se admite el cifrado con AES-256. No tiene que activar el cifrado AES-256 en un bucket de S3, aunque es lo recomendable. Sophos carga instantáneas con un encabezado de cifrado AES-256.
- No se admiten caracteres especiales en los nombres de los bucket. Para ver una lista con los caracteres permitidos, visite Clave y metadatos de objetos.
- Debido a una limitación en AWS, las instantáneas que tardan más de 1 hora en cargarse se detendrán, lo que impedirá que se realice la carga completa. Es más probable que esto ocurra si ha elegido un período de tiempo más largo para la instantánea.
- Si tiene un firewall en su entorno, compruebe que las reglas permitan la carga de instantáneas al bucket de S3 de AWS.