포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.
포렌식 스냅샷은 Windows 컴퓨터에서만 업로드할 수 있습니다. 당신은 XDR 또는 MDR 라이선스도 보유해야 합니다.
기본적으로 스냅샷은 로컬 컴퓨터에 저장됩니다. 그 대신 스냅샷을 AWS(Amazon Web Services) S3 버킷에 업로드할 수 있습니다. 이렇게 하면 각 시스템으로 이동하지 않고 중앙 위치에서 스냅샷에 쉽게 액세스할 수 있습니다.
스냅샷을 업로드하려면 사용 가능한 AWS S3 버킷이 있어야 합니다. 또한 다음과 같이 해야 합니다.
- AWS에서 관리형 정책을 만듭니다.
- Sophos Central에 AWS 계정을 추가합니다.
- S3 버킷에 대한 액세스를 제한하는 AWS 버킷 정책을 만듭니다.
- (선택 사항) 더 이상 필요하지 않은 데이터를 정리하기 위해 AWS 버킷 라이프사이클 정책을 만듭니다.
-
법의학 로그 수집
여기에서 AWS S3 버킷으로 업로드를 설정한 경우 새로운 포렌식 로그 수집 기능은 동일한 설정을 사용하여 로그를 업로드합니다.
포렌식 로그 수집은 현재 저희 Sophos Central API를 통해서만 이용 가능합니다. See https://developer.sophos.com/docs/endpoint-v1/1/overview.
관리형 정책 만들기
AWS에서 관리형 정책을 만들려면 다음과 같이 하십시오.
- Amazon Web Services (AWS) 대시보드에서 보안, 식별 및 규정 준수 아래로 가서 IAM으로 이동하십시오.
- 왼쪽 메뉴에서 역할를 클릭합니다.
- 정책 만들기를 클릭합니다.
- JSON 탭을 선택합니다.
-
아래에 표시된 정책 문서를 추가하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<bucketName>", "arn:aws:s3:::<bucketName>/*" ] } ] }참고
<bucket-name>을 스냅샷이 업로드될 버킷 이름으로 교체해야 합니다.
-
정책 검토를 클릭하여 복사된 정책이 유효한지 확인합니다.
-
정책 이름을 지정합니다.
예: "Sophos-Central-Forensic-Snapshot-Upload".
-
설명을 제공합니다.
예: 이 정책을 사용하면 이 포렌식 스냅샷을 지정된 S3 버킷에 업로드할 수 있습니다.
-
정책 만들기를 클릭합니다.
Sophos Central에 AWS 계정 추가
계정을 추가하려면 다음과 같이 하십시오.
- 일반 설정 아이콘을 클릭하십시오
. - 일반 아래에서, 포렌식 스냅샷을 클릭합니다.
- 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.를 켭니다.
- AWS 계정 ID 및 AWS 외부 계정 ID를 기록합니다.
-
Amazon Web Services에서 다음을 수행하여 IAM 역할을 만듭니다.
- AWS 관리 콘솔에서 보안 및 식별 아래로 이동하여 식별 및 액세스 관리로 이동합니다.
- 왼쪽 메뉴에서 역할를 클릭합니다.
- 역할 만들기를 클릭합니다.
- 신뢰하는 엔터티 타입
-
아래에 표시된 정책 문서를 추가하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountId>:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<externalId>" } } } ] }참고
<계정 ID> 및 <외부 ID>를 앞서 언급한 Account ID 및 External ID로 바꿉니다.
-
다음
- 이전에 만든 정책을 첨부하십시오. 예를 들어 "Sophos-Central-Forensic-Data-Upload"입니다.
-
(선택 사항) 권한 경계 설정을(를) 확장하고 사용 권한 경계를 사용하여 최대 역할 권한을 제어하도록 권장합니다.
- 이전에 생성한 정책을 첨부하십시오. 예를 들어 "Sophos-Central-Forensic-Data-Upload"와 같이.
-
자격 증명 이름을 입력합니다.
- 선택 사항. 그룹 설명을 입력합니다.
- 역할 만들기를 클릭합니다.
- 역할 만들기를 클릭하고 역할 ARN(Amazon Resource Name)을 복사합니다.
계정을 Sophos Central에 추가하기 전에 이 역할이 AWS의 모든 영역에 전파될 때까지 기다려야 합니다. 이 작업은 최대 5분이 소요될 수 있습니다.
-
Sophos Central의 포렌식 스냅샷 페이지에서 다음을 실행합니다.
- **S3 버킷 이름을 입력하세요.** 이 이름은 관리 정책의 버킷 이름과 일치해야 합니다.
- (선택 사항) 스냅샷을 업로드하려는 S3 버킷 내 디렉터리 이름을 입력하십시오.
- AWS에서 만든 역할 ARN을 입력합니다.
- 저장을 클릭합니다.
버킷 정책 만들기
S3 버킷 접근을 제한하기 위해 버킷 정책을 작성하는 것을 강력히 권장합니다. 아래 예시 정책을 확인할 수 있습니다.
다음 버킷 정책을 추가합니다.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Principal":"*",
"Action":"S3.*",
"Resource":[
"arn:aws:s3:::<bucketName>*",
"arn:aws:s3:::<bucketName>/*"
],
"Condition":{
"StringNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::<customerAccountId>:root",
"arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
]
}
}
}
]
}
플레이스홀더를 다음과 같이 대체하십시오:
- <버킷 이름>: 법의학 데이터가 업로드될 버킷의 이름.
- customerAccountId AWS 계정 ID: 상단 오른쪽의 사용자 이름을 클릭하여 AWS 콘솔에서 찾을 수 있습니다.
- <iamRoleName>: 이전 섹션에서 생성된 IAM 역할의 이름.
이 정책은 버킷에 업로드하거나 데이터에 액세스하는 데 다음 사용자만 허용합니다:
- 계정 소유주.
- 이전에 생성된 IAM 역할에 의해 설정된 권한이 있는 모든 계정(단, Sophos만 가능).
버킷 정책 만들기
당사는 귀하의 S3 버킷에 수명 주기 정책을 설정하는 것을 강력히 권장합니다. 본 정책은 불필요한 추가 비용 발생을 피합니다.
포렌식 데이터 파일이 큰 경우 Sophos 엔드포인트는 자동으로 데이터를 부분적으로 업로드합니다. 저희 통제 범위를 벗어난 장애가 발생하면, 멀티파트 업로드가 중단될 수 있으며, 이로 인해 버킷에 데이터가 불완전하게 저장될 수 있습니다. AWS는 이 미완료 데이터를 저장하는 데 비용을 청구할 수 있습니다. 이를 피하려면 버킷에 생명 주기 정책을 생성하여 미완료 업로드를 정리하세요.
새 정책을 생성하려면 다음과 같이 하십시오.
- Google 개발자 콘솔에 로그인합니다.
- https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.
- 버킷 목록에서 포렌식 데이터를 업로드할 버킷을 선택하십시오.
- Management
- 수명 주기 규칙 이름
- 모든 버킷의 모든 객체에이 규칙이 적용됩니다
- Lifecycle rule actions
- 만료된 객체 삭제 표시자 또는 불완전한 다중 업로드 삭제
- 일수
- 규칙 만들기을 클릭합니다.
알려진 문제
- KMS 암호화를 사용하여 버킷에 업로드하는 기능은 지원되지 않지만 AES-256 암호화는 지원됩니다. S3 버킷에서 AES-256 암호화를 꼭 활성화할 필요는 없지만, 하는 것이 좋습니다. 는 AES-256 암호화 헤더가 있는 스냅샷을 업로드합니다.
- 버킷 이름에 대한 특수 문자는 지원되지 않습니다. 허용되는 문자 목록은 개체 키 및 메타데이터를 참조하십시오.
- 사용자 환경에 방화벽이 있는 경우, 현재 규칙이 AWS S3 버킷에 스냅샷을 업로드하도록 허용하는지 확인합니다. 이 조언은 소포스 방화벽뿐만 아니라 다른 방화벽에도 적용됩니다.