포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.
포렌식 스냅샷은 Windows 컴퓨터에서만 업로드할 수 있습니다. 또한 XDR 또는 MDR 라이센스가 있어야 합니다.
기본적으로 스냅샷은 로컬 컴퓨터에 저장됩니다. 그 대신 스냅샷을 AWS(Amazon Web Services) S3 버킷에 업로드할 수 있습니다. 이렇게 하면 각 시스템으로 이동하지 않고 중앙 위치에서 스냅샷에 쉽게 액세스할 수 있습니다.
스냅샷을 업로드하려면 사용 가능한 AWS S3 버킷이 있어야 합니다. 또한 다음과 같이 해야 합니다.
- AWS에서 관리형 정책을 만듭니다.
- Sophos Central에 AWS 계정을 추가합니다.
- S3 버킷에 대한 액세스를 제한하는 AWS 버킷 정책을 만듭니다.
- (선택 사항) AWS 버킷 수명 주기 정책을 생성하여 더 이상 필요하지 않은 데이터를 지웁니다.
-
포렌식 로그 수집
여기에서 AWS S3 버킷에 업로드를 설정하면 새로운 Forensic 로그 수집 기능이 동일한 설정을 사용하여 로그를 업로드합니다.
법의학적 로그 수집은 현재 Sophos Central API를 통해서만 사용할 수 있습니다. See https://developer.sophos.com/docs/endpoint-v1/1/overview.
관리형 정책 만들기
AWS에서 관리형 정책을 만들려면 다음과 같이 하십시오.
- AWS(Amazon Web Services) 대시보드의 보안, ID 및 규정 준수에서 IAM 으로 이동합니다.
- 왼쪽 메뉴에서 역할를 클릭합니다.
- 정책 만들기를 클릭합니다.
- JSON 탭을 선택합니다.
-
아래 표시된 정책 문서를 추가합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<bucketName>", "arn:aws:s3:::<bucketName>/*" ] } ] }
참고
<bucketName 을> 스냅샷을 업로드할 버킷의 이름으로 바꿉니다.
-
정책 검토를 클릭하여 복사된 정책이 유효한지 확인합니다.
-
정책 이름을 지정합니다.
예: "Sophos-Central-Forensic-Snapshot-Upload".
-
설명을 제공합니다.
예: 이 정책을 통해 Sophos Central는 지정된 S3 버킷에 포렌식 스냅샷을 업로드할 수 있습니다.
-
정책 만들기를 클릭합니다.
Sophos Central에 AWS 계정 추가
계정을 추가하려면 다음과 같이 하십시오.
- Sophos Central에서, 나의 제품 > 일반 설정 > 포렌식 스냅샷을 클릭합니다.
- 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.를 켭니다.
- AWS 계정 ID 및 AWS 외부 계정 ID를 기록합니다.
-
Amazon Web Services에서 다음을 수행하여 IAM 역할을 만듭니다.
- AWS 관리 콘솔의 보안 및 ID 아래에서 ID 및 액세스 관리 로 이동합니다.
- 왼쪽 메뉴에서 역할를 클릭합니다.
- 역할 만들기를 클릭합니다.
- 신뢰할 수 있는 엔터티 유형에서 사용자 지정 트러스트 정책을 선택합니다.
-
아래 표시된 정책 문서를 추가합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountId>:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<externalId>" } } } ] }
참고
<AccountId> 및 <ExternalId를> * * 앞서 기록한 계정 ID 및 외부 ID로 바꿉니다.
-
다음 을 클릭하여 사용 권한 페이지로 이동합니다.
- 앞서 생성한 정책을 첨부합니다(예: "Sophos-Central-Forensic-Data-Upload").
-
(선택 사항) 권한 경계 설정 을 확장하고 권한 경계 사용 을 클릭하여 최대 역할 권한을 제어하는 것이 좋습니다.
- 앞에서 생성한 정책(예: "Sophos-Central-Forensic-Data-Upload")을 연결합니다.
-
펌웨어 이름을 입력합니다.
- 선택 사항. 고객 설명을 입력합니다.
- 역할 만들기를 클릭합니다.
- 이제 이 역할을 보고 역할 ARN (아마존 리소스 이름)을 복사합니다.
계정을 Sophos Central에 추가하기 전에 이 역할이 AWS의 모든 영역에 전파될 때까지 기다려야 합니다. 이 작업은 최대 5분이 소요될 수 있습니다.
-
Sophos Central의 포렌식 스냅샷 페이지에서 다음을 실행합니다.
- S3 버킷 이름을 입력합니다. 이 이름은 관리되는 정책의 버킷 이름과 일치해야 합니다.
- (선택 사항) 스냅샷을 업로드할 S3 버킷의 디렉토리 이름을 입력합니다.
- AWS에서 만든 역할 ARN을 입력합니다.
- 저장을 클릭합니다.
버킷 정책 만들기
S3 버킷에 대한 액세스를 제한하는 버킷 정책을 만들 것을 적극 권장합니다. 정책의 예는 다음과 같습니다.
다음 버킷 정책을 추가합니다.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Principal":"*",
"Action":"S3.*",
"Resource":[
"arn:aws:s3:::<bucketName>*",
"arn:aws:s3:::<bucketName>/*"
],
"Condition":{
"StringNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::<customerAccountId>:root",
"arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
]
}
}
}
]
}
다음과 같이 개체 틀을 교체합니다.
- <버킷이름>: 포렌식 데이터를 업로드할 버킷의 이름입니다.
- <고객 계정 ID>: AWS 계정 ID: 오른쪽 상단에 있는 사용자 이름을 클릭하여 AWS 콘솔에서 찾을 수 있습니다.
- <iamRoleName>: 이전 섹션에서 생성한 IAM 역할의 이름입니다.
이 정책은 다음 사용자만 버킷에 업로드하거나 버킷의 데이터에 액세스할 수 있도록 허용합니다.
- 계정의 소유자입니다.
- 이전에 생성한 IAM 역할에 의해 설정된 권한을 가진 모든 계정(Sophos만 가능)
버킷 정책 만들기
S3 버킷에 대한 수명 주기 정책을 설정하는 것이 좋습니다. 이 정책은 원치 않는 추가 비용을 발생시키는 것을 방지합니다.
법의학 데이터 파일이 크면 Sophos Endpoint가 자동으로 데이터를 부분적으로 업로드합니다. 통제할 수 없는 중단이 발생하면 다중 부분 업로드가 중단되어 버킷에 불완전한 데이터가 생길 수 있습니다. AWS는 이 불완전한 데이터를 저장하는 데 비용을 청구할 수 있습니다. 이를 방지하려면 불완전한 업로드를 정리하는 수명주기 정책을 버킷에 생성합니다.
새 정책을 생성하려면 다음과 같이 하십시오.
- AWS 관리 콘솔에 로그인합니다.
- https://console.aws.amazon.com/s3/ 에서 Amazon S3 콘솔을 엽니다.
- Buckets (버킷) 목록에서 법의학 데이터를 업로드할 버킷을 선택합니다.
- 관리 탭을 선택하고 수명주기 규칙 작성을 선택합니다.
- Lifecycle rule name(문서 수정 상태 규칙 이름) 에 규칙의 이름을 입력합니다(예: "Delete incomplete multipart uploads(완료되지 않은 다중
- 이 규칙은 버킷의 모든 오브젝트에 적용됩니다를 선택합니다.
- 수명 주기 규칙 작업에서 만료된 개체 삭제 마커 또는 완료되지 않은 다중 업로드 삭제를 선택합니다.
- 만료된 개체 삭제 마커 또는 완료되지 않은 멀티파트 업로드 삭제에서 완료되지 않은 멀티파트 업로드 삭제를 선택합니다.
- 일 수에 7일을 입력합니다.
- 규칙 만들기을 클릭합니다.
알려진 문제
- KMS 암호화를 사용하여 버킷에 업로드하는 기능은 지원되지 않지만 AES-256 암호화는 지원됩니다. S3 버킷에서 AES-256 암호화를 꼭 활성화할 필요는 없지만, 하는 것이 좋습니다. 는 AES-256 암호화 헤더가 있는 스냅샷을 업로드합니다.
- 버킷 이름에 대한 특수 문자는 지원되지 않습니다. 허용되는 문자 목록은 개체 키 및 메타데이터를 참조하십시오.
- 사용자 환경에 방화벽이 있는 경우, 현재 규칙이 AWS S3 버킷에 스냅샷을 업로드하도록 허용하는지 확인합니다. 이 권장 사항은 Sophos Firewall 및 기타 방화벽에 적용됩니다.