フォレンジック分析のスナップショットの AWS S3 バケットへのアップロード

ここにある手順に従って、フォレンジック分析のスナップショットをアップロードできます。

制限事項

このオプションは現在、Windows コンピュータのみで使用でき、Core Agent 2.5.0 以降が必要です。

デフォルトで、スナップショットはローカルコンピュータに保存されます。代わりに、Amazon Web Services (AWS) S3 バケットにスナップショットをアップロードすることもできます。これによって、各コンピュータにアクセスするのではなく、一カ所から簡単にスナップショットにアクセスできるようになります。

スナップショットをアップロードするには、利用可能な AWS S3 バケットが必要です。また、次の手順も実行する必要があります。

AWS で管理ポリシーを作成する。
Sophos Central に AWS アカウントを追加する。
AWS バケットポリシーを作成して、S3 バケットへのアクセスを制限する。

脅威グラフの詳細は、脅威グラフの解析を参照してください。

管理型ポリシーの作成

AWS で管理型ポリシーを作成するには、次の手順を実行します。

Amazon Web Services (AWS) ダッシュボードで、「セキュリティ、アイデンティティ、コンプライアンス」の下にある「IAM」を参照します。
左側のナビゲーションバーで「ポリシー」をクリックします。
「ポリシーの作成」をクリックします。
「JSON」をクリックします。

次のポリシーを追加します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutObject",
            "Effect": "Allow",
                "Action": [
                    "s3:PutObject",
                    "s3:GetBucketLocation"
                ],
                "Resource": [
                    "arn:aws:s3:::<バケット名>",
                    "arn:aws:s3:::<バケット名>/*"
                ]
        }
    ]
}

注

<バケット名> を、スナップショットのアップロード先バケットの名前に置き換える必要があります。

「ポリシーの確認」を選択して、コピーしたポリシーが有効かどうかを確認してください。
ポリシーに名前を付けます。

例: Sophos-Central-Forensic-Snapshot-Upload。
説明を入力します。

例: This policy allows Sophos Central to upload forensic snapshots to a given S3 bucket.
「ポリシーの作成」をクリックします。

Sophos Central への AWS アカウントの追加

アカウントを追加するには、次の手順を実行します。

Sophos Central で、「マイプロダクト > 全般設定 > フォレンジック分析のスナップショット」の順に選択します。
「フォレンジック分析のスナップショットの AWS S3 バケットへのアップロード」をオンにします。
「AWS アカウント ID」と「AWS 外部 ID」をメモします。
Amazon Web Services で、次の操作を実行して IAM ロールを作成します。
1. Amazon Web Services ダッシュボードで、「セキュリティ、アイデンティティ」の下にある「アイデンティティ、アクセス管理」を参照します。
2. 左側のナビゲーションバーで「ロール」をクリックします。
3. 「ロールの作成」をクリックします。
4. 「別の AWS アカウント」をクリックします。
5. Sophos Central から提供される「アカウント ID」と「外部 ID」を入力します。
6. 「外部 ID を必須にする」をオンにします。サードパーティがこのロールを引き受ける場合、これは推奨されるベストプラクティスです。
7. 「MFA が必要」をオフにします。
8. 次をクリックします: 「次へ: 権限」を選択します。
9. 先ほど作成したポリシーを選択して、「次へ: タグ」を選択します。
10. オプションのタグは空白のままにして、「次へ: 確認」を選択します。
11. 「ロールの名前」および任意で「ロールの説明」を入力します。
12. 「ロールの作成」をクリックして、「ロール ARN (Amazon Resource Name) をコピーします。
Sophos Central にアカウントを追加する前に、このロールがすべてのリージョンに適用されるのを待つ必要があります。終了するまで最長 5分かかることがあります。
Sophos Central の「フォレンジック分析のスナップショット」ページで次の操作を実行します。
1. S3 バケット名を入力します。これは、管理型ポリシー内のバケット名と一致する必要があります。
2. 任意で、S3 バケット内のスナップショットをアップロードするバケットディレクトリ名を入力します。
3. AWS で作成した「ロール ARN」を入力します。
4. 「保存」をクリックします。

バケットポリシーの作成

バケットポリシーを作成して、フォレンジック分析のスナップショットのアップロード先 S3 バケットへのアクセスを制限することを推奨します。

アクセスを制限する方法は次のとおりです。

次のバケットポリシーを追加します。

{
    "Version":"2012-10-17",
    "Id":"S3PolicyIPRestrict",
    "Statement":[
        {
            "Sid":"IPAllow",
            "Effect":"Allow",
            "Principal":{
                "AWS":"*"
            },
            "Action":"s3:PutObject",
            "Resource":"arn:aws:s3:::<バケット名>/*",
            "Condition":{
                "IpAddress":{
                    "aws:SourceIp":"192.168.143.0/24"
                }
            }
        },
        {
            "Sid":"AllowRead",
            "Action":[
                "s3:GetObject"
            ],
            "Effect":"Allow",
            "Resource":"arn:aws:s3:::<バケット名>/*",
            "Principal":{
                "AWS":[
                    "arn:aws:iam::123456789012:root"
                ]
            }
        }
    ]
}

このポリシーの内容は次のとおりです。

指定された IP アドレスのみがバケットにスナップショットをアップロードできます。これら IP はエンドポイントやファイアウォールの外部 IP です。
承認されたユーザーのみが、バケット内のスナップショットにアクセスできます。

知っておくべき問題点がありますか？

KMS 暗号化を使用したバケットへのアップロードはサポートされていませんが、AES-256 暗号化はサポートされています。S3 バケットで AES-256 暗号化を有効にする必要はありませんが、有効にすることが推奨されます。Sophosは、AES-256 暗号化ヘッダのあるスナップショットをアップロードします。
バケット名の特殊文字はサポートされていません。許可されている文字のリストについては、「オブジェクトキーとメタデータ」を参照してください。
AWS の制限事項により、アップロードに 1時間以上かかるスナップショットはタイムアウトになり、アップロードが行われなくなります。これはスナップショットに含まれる期間を長く選択した場合に発生する可能性があります。
環境にファイアウォールがある場合は、AWS S3 バケットへのスナップショットのアップロードがルールによって許可されていることを確認してください。