포렌식 스냅샷을 AWS S3 버킷에 업로드
포렌식 스냅샷을 업로드하려면 다음 지침을 따르십시오.
제한
이 옵션은 현재 Windows 컴퓨터에서만 사용할 수 있으며 Core Agent 2.5.0 이상이 필요합니다.
기본적으로 스냅샷은 로컬 컴퓨터에 저장됩니다. 그 대신 스냅샷을 AWS(Amazon Web Services) S3 버킷에 업로드할 수 있습니다. 이렇게 하면 각 시스템으로 이동하지 않고 중앙 위치에서 스냅샷에 쉽게 액세스할 수 있습니다.
스냅샷을 업로드하려면 사용 가능한 AWS S3 버킷이 있어야 합니다. 또한 다음과 같이 해야 합니다.
- AWS에서 관리형 정책을 만듭니다.
- Sophos Central에 AWS 계정을 추가합니다.
- S3 버킷에 대한 액세스를 제한하는 AWS 버킷 정책을 만듭니다.
위협 그래프에 대한 자세한 내용은 위협 그래프 분석를 참조하십시오.
관리형 정책 만들기
AWS에서 관리형 정책을 만들려면 다음과 같이 하십시오.
- AWS(Amazon Web Services) 대시보드에서 보안, ID 및 규정 준수 아래에 있는 IAM으로 이동합니다.
- 왼쪽 탐색 모음에서 정책을 클릭합니다.
- 정책 만들기를 클릭합니다.
- JSON을 클릭합니다.
-
다음 정책을 추가합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::<bucket-name>", "arn:aws:s3:::<bucket-name>/*" ] } ] }
참고
<bucket-name>을 스냅샷이 업로드될 버킷 이름으로 교체해야 합니다.
-
정책 검토를 클릭하여 복사된 정책이 유효한지 확인합니다.
-
정책 이름을 지정합니다.
예:
Sophos-Central-Forensic-Snapshot-Upload
. -
설명을 제공합니다.
예:
This policy allows Sophos Central to upload forensic snapshots to a given S3 bucket.
-
정책 만들기를 클릭합니다.
Sophos Central에 AWS 계정 추가
계정을 추가하려면 다음과 같이 하십시오.
- Sophos Central에서, 나의 제품 > 일반 설정 > 포렌식 스냅샷을 클릭합니다.
- 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.를 켭니다.
- AWS 계정 ID 및 AWS 외부 계정 ID를 기록합니다.
-
Amazon Web Services에서 다음을 수행하여 IAM 역할을 만듭니다.
-
Amazon Web Services 대시보드에서 보안 및 ID 아래에 있는 ID 및 액세스 관리로 이동합니다.
-
왼쪽 탐색 모음에서 역할을 클릭합니다.
- 역할 만들기를 클릭합니다.
- 다른 AWS 계정을 클릭합니다.
-
Sophos Central에서 제공한 계정 ID 및 외부 ID를 입력합니다.
-
외부 ID 필요를 켭니다. 이는 제3자가 이 역할을 맡을 때 권장되는 모범 사례입니다.
-
MFA 요구를 끕니다.
- 다음: 권한을 클릭합니다.
- 앞서 만든 정책을 연결하고 다음: 태그를 클릭합니다.
- 옵션 태그를 비워 두고 다음: 검토를 클릭합니다.
- 역할 이름을 입력하고 필요에 따라 역할 설명을 입력합니다.
- 역할 만들기를 클릭하고 역할 ARN(Amazon Resource Name)을 복사합니다.
-
-
계정을 Sophos Central에 추가하기 전에 이 역할이 AWS의 모든 영역에 전파될 때까지 기다려야 합니다. 이 작업은 최대 5분이 소요될 수 있습니다.
-
Sophos Central의 포렌식 스냅샷 페이지에서 다음을 실행합니다.
- S3 버킷 이름을 입력합니다. 이 이름은 관리형 정책의 버킷 이름과 일치해야 합니다.
- 필요에 따라 S3 버킷에서 스냅샷을 업로드할 버킷 디렉토리 이름을 입력합니다.
- AWS에서 만든 역할 ARN을 입력합니다.
- 저장을 클릭합니다.
버킷 정책 만들기
포렌식 스냅샷을 업로드할 S3 버킷에 대한 액세스를 제한하는 버킷 정책을 만드는 것이 좋습니다.
액세스를 제한하려면:
-
다음 버킷 정책을 추가합니다.
{ "Version":"2012-10-17", "Id":"S3PolicyIPRestrict", "Statement":[ { "Sid":"IPAllow", "Effect":"Allow", "Principal":{ "AWS":"*" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::<bucket-name>/*", "Condition":{ "IpAddress":{ "aws:SourceIp":"192.168.143.0/24" } } }, { "Sid":"AllowRead", "Action":[ "s3:GetObject" ], "Effect":"Allow", "Resource":"arn:aws:s3:::<bucket-name>/*", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:root" ] } } ] }
이 정책에 따라:
- 지정된 IP 주소만 버킷에 스냅샷을 업로드할 수 있습니다. 이는 엔드포인트 또는 방화벽의 외부 IP 주소여야 합니다.
- 권한 있는 사용자만 버킷의 스냅샷에 액세스할 수 있습니다.
알아야 할 문제가 있습니까?
-
KMS 암호화를 사용하여 버킷에 업로드하는 기능은 지원되지 않지만 AES-256 암호화는 지원됩니다. S3 버킷에서 AES-256 암호화를 꼭 활성화할 필요는 없지만, 하는 것이 좋습니다. Sophos는 AES-256 암호화 헤더가 있는 스냅샷을 업로드합니다.
-
버킷 이름에 대한 특수 문자는 지원되지 않습니다. 허용되는 문자 목록은 개체 키 및 메타데이터를 참조하십시오.
-
AWS의 제한사항으로 인해, 업로드에 1시간 이상 걸리는 스냅샷은 시간이 초과되어 업로드가 진행되지 않습니다. 스냅샷을 포함하는 시간을 더 길게 선택한 경우에 이렇게 될 가능성이 높습니다.
-
사용자 환경에 방화벽이 있는 경우, 현재 규칙이 AWS S3 버킷에 스냅샷을 업로드하도록 허용하는지 확인합니다.