Carica snapshot di analisi approfondita su un bucket S3 AWS

Seguire queste istruzioni per caricare uno snapshot di analisi approfondita.

Nota Questa opzione è attualmente disponibile solo per i computer Windows e richiede Core Agent 2.5.0 o versioni successive.

Per impostazione predefinita, gli snapshot vengono salvati sul computer locale. In alternativa, gli snapshot possono anche essere caricati su un bucket S3 Amazon Web Services (AWS). Questa opzione consente di accedere agli snapshot con maggiore semplicità, in quanto sono situati in una posizione centrale, piuttosto che su singoli computer a cui dover effettuare l'accesso individualmente.

Per caricare snapshot è necessario che sia disponibile un bucket S3 AWS. Inoltre, occorre procedere come segue:

  • Creare un criterio gestito in AWS.
  • Aggiungere il proprio account AWS a Sophos Central.
  • Creare un criterio per i bucket AWS che limiti l'accesso al bucket S3.

Per maggiori informazioni sui Casi di minacce vedere: Pagina di analisi dei Casi di minacce.

Creazione di un criterio gestito

Per aggiungere un criterio gestito in AWS, procedere come segue:

  1. Nella dashboard di Amazon Web Services (AWS), accedere a IAM, elencato sotto Security, Identity and Compliance.
  2. Cliccare su Policies nella barra di navigazione sulla sinistra.
  3. Cliccare su Create policy.
  4. Cliccare su JSON.
  5. Aggiungere il seguente criterio:
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowPutObject",
                "Effect": "Allow",
                "Action": [ 
                   "s3:PutObject",
                   "s3:GetBucketLocation"
                ],
                "Resource": [
                    "arn:aws:s3:::<bucket-name>",
                    "arn:aws:s3:::<bucket-name>/*"
                ]
            }
        ]
    }
    Nota È necessario sostituire <bucket-name> con il nome del bucket su cui verranno caricati gli snapshot.
  6. Cliccare su Review Policy per verificare che il criterio copiato sia valido.
  7. Assegnare un nome al criterio.

    Esempio: Sophos-Central-Forensic-Snapshot-Upload.

  8. Fornire una descrizione.

    Esempio: Questo criterio consente a Sophos Central di caricare snapshot di analisi approfondita su un determinato bucket S3.

  9. Cliccare su Create policy.

Aggiunta di un account AWS a Sophos Central

Per aggiungere un account, procedere come segue.

  1. In Sophos Central, selezionare Panoramica > Impostazioni globali e cliccare su Snapshot di analisi approfondita.
  2. Attivare Carica snapshot di analisi approfondita su un bucket S3 AWS.
  3. Prendere nota dei codici ID account AWS e ID esterno AWS.
  4. In Amazon Web Services, creare il Ruolo IAM procedendo come segue:
    1. Nella dashboard di Amazon Web Services, selezionare Gestione delle identità e degli accessi, sotto Sicurezza e identità.
    2. Cliccare su Ruoli nella barra di navigazione sulla sinistra.
    3. Cliccare su Crea ruolo.
    4. Cliccare su Un altro account AWS.
    5. Immettere l'ID account e l'ID esterno forniti da Sophos Central.
    6. Attivare Richiedi ID esterno.
      È la procedura consigliata quando una terza parte assume questo ruolo.
    7. Disattivare Richiedi MFA.
    8. Cliccare su Avanti: Autorizzazioni.
    9. Allegare il criterio creato in precedenza e cliccare su Avanti: Tag.
    10. Lasciare vuoti i tag facoltativi e cliccare su Avanti: Verifica.
    11. Immettere un Nome ruolo e, facoltativamente, una Descrizione ruolo.
    12. Cliccare su Crea Ruolo e copiare l'ARN (Amazon Resource Name) del ruolo.
  5. Prima di poter aggiungere l'account a Sophos Central, è necessario attendere che questo ruolo si propaghi su tutte le regioni in AWS. L'operazione potrebbe richiedere fino a un massimo di 5 minuti.
  6. In Sophos Central, nella pagina Snapshot di analisi approfondita, procedere come segue:
    1. Immettere il nome del bucket S3, che deve corrispondere al nome del bucket nel criterio gestito.
    2. Facoltativamente, immettere il nome di una directory del bucket, nella quale si desidera caricare gli snapshot all'interno del bucket S3.
    3. Immettere l'ARN del ruolo creato in AWS.
    4. Cliccare su Salva.

Creazione di un criterio per i bucket

Si consiglia di creare un criterio per i bucket che limiti l'accesso al bucket S3 su cui si desidera caricare gli snapshot di analisi approfondita.

Per limitare l'accesso:

Aggiungere il seguente criterio per i bucket:
{ 
   "Version":"2012-10-17",
   "Id":"S3PolicyIPRestrict",
   "Statement":[ 
      { 
         "Sid":"IPAllow",
         "Effect":"Allow",
         "Principal":{ 
            "AWS":"*"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::<bucket-name>",
         "Condition":{ 
            "IpAddress":{ 
               "aws:SourceIp":"192.168.143.0/24"
            }
         }
      },
      { 
         "Sid":"AllowRead",
         "Action":[ 
            "s3:GetObject"
         ],
         "Effect":"Allow",
         "Resource":"arn:aws:s3:::<bucket-name>",
         "Principal":{ 
            "AWS":[ 
               "arn:aws:iam::123456789012:root"
            ]
         }
      }
   ]
}

Questo criterio:

  • Consente solo agli indirizzi IP specificati di caricare snapshot sul bucket. Devono essere gli indirizzi IP esterni degli endpoint o dei firewall.
  • Consente solo alle persone autorizzate di accedere agli snapshot nel bucket.

Ci sono problemi di cui dovrei essere a conoscenza?

  • Il caricamento sui bucket con crittografia KMS non è supportato, tuttavia è supportata la cifratura AES-256. Sebbene sia consigliabile, abilitare la cifratura AES-256 su un bucket S3 non è obbligatorio. Sophos carica snapshot con un'intestazione della cifratura AES-256.
  • I caratteri speciali per i nomi dei bucket non sono supportati. Per un elenco dei caratteri consentiti, consultare la pagina Chiave oggetto e metadati.
  • A causa di una limitazione imposta da AWS, si verificherà un timeout quando gli upload richiedono più di un'ora, il che ne impedisce il caricamento. Questa eventualità è più probabile se viene selezionato un periodo di tempo più lungo da includere nello snapshot.
  • Se nell'ambiente è presente un firewall, verificare che le regole consentano il caricamento di snapshot nel bucket S3 AWS.