콘텐츠로 이동

포렌식 스냅샷을 AWS S3 버킷에 업로드

포렌식 스냅샷을 업로드하려면 다음 지침을 따르십시오.

제한

이 옵션은 현재 Windows 컴퓨터에서만 사용할 수 있으며 Core Agent 2.5.0 이상이 필요합니다.

기본적으로 스냅샷은 로컬 컴퓨터에 저장됩니다. 그 대신 스냅샷을 AWS(Amazon Web Services) S3 버킷에 업로드할 수 있습니다. 이렇게 하면 각 시스템으로 이동하지 않고 중앙 위치에서 스냅샷에 쉽게 액세스할 수 있습니다.

스냅샷을 업로드하려면 사용 가능한 AWS S3 버킷이 있어야 합니다. 또한 다음과 같이 해야 합니다.

  • AWS에서 관리형 정책을 만듭니다.
  • Sophos Central에 AWS 계정을 추가합니다.
  • S3 버킷에 대한 액세스를 제한하는 AWS 버킷 정책을 만듭니다.

위협 그래프에 대한 자세한 내용은 위협 그래프 분석를 참조하십시오.

관리형 정책 만들기

AWS에서 관리형 정책을 만들려면 다음과 같이 하십시오.

  1. AWS(Amazon Web Services) 대시보드에서 보안, ID 및 규정 준수 아래에 있는 IAM으로 이동합니다.
  2. 왼쪽 탐색 모음에서 정책을 클릭합니다.
  3. 정책 만들기를 클릭합니다.
  4. JSON을 클릭합니다.
  5. 다음 정책을 추가합니다.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowPutObject",
                "Effect": "Allow",
                    "Action": [
                        "s3:PutObject",
                        "s3:GetBucketLocation"
                    ],
                    "Resource": [
                        "arn:aws:s3:::<bucket-name>",
                        "arn:aws:s3:::<bucket-name>/*"
                    ]
            }
        ]
    }
    

    참고

    \<버킷 이름>을 스냅샷이 업로드될 버킷 이름으로 교체해야 합니다.

  6. 정책 검토를 클릭하여 복사된 정책이 유효한지 확인합니다.

  7. 정책 이름을 지정합니다.

    예: Sophos-Central-Forensic-Snapshot-Upload.

  8. 설명을 제공합니다.

    예: This policy allows Sophos Central to upload forensic snapshots to a given S3 bucket.

  9. 정책 만들기를 클릭합니다.

Sophos Central에 AWS 계정 추가

계정을 추가하려면 다음과 같이 하십시오.

  1. Sophos Central에서, 전역 설정으로 이동하여 포렌식 스냅샷을 클릭합니다.
  2. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.를 켭니다.
  3. AWS 계정 IDAWS 외부 계정 ID를 기록합니다.
  4. Amazon Web Services에서 다음을 수행하여 IAM 역할을 만듭니다.

    1. Amazon Web Services 대시보드에서 보안 및 ID 아래에 있는 ID 및 액세스 관리로 이동합니다.

    2. 왼쪽 탐색 모음에서 역할을 클릭합니다.

    3. 역할 만들기를 클릭합니다.
    4. 다른 AWS 계정을 클릭합니다.
    5. Sophos Central에서 제공한 계정 ID외부 ID를 입력합니다.

    6. 외부 ID 필요를 켭니다. 이는 제3자가 이 역할을 맡을 때 권장되는 모범 사례입니다.

    7. MFA 요구를 끕니다.

    8. 다음: 권한을 클릭합니다.
    9. 앞서 만든 정책을 연결하고 다음: 태그를 클릭합니다.
    10. 옵션 태그를 비워 두고 다음: 검토를 클릭합니다.
    11. 역할 이름을 입력하고 필요에 따라 역할 설명을 입력합니다.
    12. 역할 만들기를 클릭하고 역할 ARN(Amazon Resource Name)을 복사합니다.
  5. 계정을 Sophos Central에 추가하기 전에 이 역할이 AWS의 모든 영역에 전파될 때까지 기다려야 합니다. 이 작업은 최대 5분이 소요될 수 있습니다.

  6. Sophos Central의 포렌식 스냅샷 페이지에서 다음을 실행합니다.

    1. S3 버킷 이름을 입력합니다. 이 이름은 관리형 정책의 버킷 이름과 일치해야 합니다.
    2. 필요에 따라 S3 버킷에서 스냅샷을 업로드할 버킷 디렉토리 이름을 입력합니다.
    3. AWS에서 만든 역할 ARN을 입력합니다.
    4. 저장을 클릭합니다.

버킷 정책 만들기

포렌식 스냅샷을 업로드할 S3 버킷에 대한 액세스를 제한하는 버킷 정책을 만드는 것이 좋습니다.

액세스를 제한하려면:

  1. 다음 버킷 정책을 추가합니다.

    {
        "Version":"2012-10-17",
        "Id":"S3PolicyIPRestrict",
        "Statement":[
            {
                "Sid":"IPAllow",
                "Effect":"Allow",
                "Principal":{
                    "AWS":"*"
                },
                "Action":"s3:PutObject",
                "Resource":"arn:aws:s3:::<bucket-name>/*",
                "Condition":{
                    "IpAddress":{
                        "aws:SourceIp":"192.168.143.0/24"
                    }
                }
            },
            {
                "Sid":"AllowRead",
                "Action":[
                    "s3:GetObject"
                ],
                "Effect":"Allow",
                "Resource":"arn:aws:s3:::<bucket-name>/*",
                "Principal":{
                    "AWS":[
                        "arn:aws:iam::123456789012:root"
                    ]
                }
            }
        ]
    }
    

    이 정책에 따라:

    • 지정된 IP 주소만 버킷에 스냅샷을 업로드할 수 있습니다. 이는 엔드포인트 또는 방화벽의 외부 IP 주소여야 합니다.
    • 권한 있는 사용자만 버킷의 스냅샷에 액세스할 수 있습니다.

알아야 할 문제가 있습니까?

  • KMS 암호화를 사용하여 버킷에 업로드하는 기능은 지원되지 않지만 AES-256 암호화는 지원됩니다. S3 버킷에서 AES-256 암호화를 꼭 활성화할 필요는 없지만, 하는 것이 좋습니다. Sophos는 AES-256 암호화 헤더가 있는 스냅샷을 업로드합니다.

  • 버킷 이름에 대한 특수 문자는 지원되지 않습니다. 허용되는 문자 목록은 개체 키 및 메타데이터를 참조하십시오.

  • AWS의 제한사항으로 인해, 업로드에 1시간 이상 걸리는 스냅샷은 시간이 초과되어 업로드가 진행되지 않습니다. 스냅샷을 포함하는 시간을 더 길게 선택한 경우에 이렇게 될 가능성이 높습니다.

  • 사용자 환경에 방화벽이 있는 경우, 현재 규칙이 AWS S3 버킷에 스냅샷을 업로드하도록 허용하는지 확인합니다.