フォレンジック分析のスナップショット

フォレンジック分析のスナップショットでは、コンピュータのアクティビティに関するソフォスのログから取得したデータを用いて、ユーザーが独自に解析を行うことができます。

フォレンジック分析のスナップショットは、脅威ケースまたはデバイスの詳細ページの「状態」タブから作成できます。

概要 > グローバル設定 > フォレンジック分析のスナップショット」を参照します。

スナップショットに含めるデータの量、およびデータの保存先を設定できます。

ヘルプの公開時点では、この設定オプションがまだ表示されない可能性もあります。

フォレンジック分析のスナップショット期間の設定

デフォルトで、スナップショットには過去 2週間のデータが含まれます。

ここでは、別の期間を指定したり、使用可能なすべてのデータを含めるように選択したりできます。

フォレンジック分析のスナップショットの AWS S3 バケットへのアップロード

デフォルトで、スナップショットはローカルコンピュータに保存されます。

代わりに、AWS S3 バケットにスナップショットをアップロードすることもできます。これによって、各コンピュータにアクセスするのではなく、一カ所から簡単にスナップショットにアクセスできるようになります。

  1. スナップショットをアップロードする S3 バケット名とディレクトリを入力します。
  2. AWS コンソールに移動して、新しい IAM ロールを作成します。ソフォスのプロキシアカウントの詳細を含めて、スナップショットデータを S3 バケットに格納する必要があります。ソフォスが提供する、「AWS アカウント ID」および「AWS 外部 ID」を使用してください。

    AWS S3 バケットを設定してスナップショットをアップロードする方法の詳細は、フォレンジック分析のスナップショットの AWS S3 バケットへのアップロードを参照してください。

  3. フォレンジック分析のスナップショット」ページに戻り、ARN (Amazon リソースネーム) を入力します。
  4. 保存」をクリックします。
Sophos Firewall を使用すると、S3 バケットへのトラフィックがブロックされる場合があります。その場合は、ファイアウォールのポリシーを更新して、このトラフィックを許可します。
制約事項 AWS の制限により、アップロードに 1時間以上かかるとタイムアウトします。これは、スナップショット内のデータのデータ期間が長い場合、発生しやすくなります。