주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.

포렌식 스냅샷은 Windows 컴퓨터에서만 업로드할 수 있습니다. 또한 XDR 또는 MDR 라이센스가 있어야 합니다.

기본적으로 스냅샷은 로컬 컴퓨터에 저장됩니다. 그 대신 스냅샷을 AWS(Amazon Web Services) S3 버킷에 업로드할 수 있습니다. 이렇게 하면 각 시스템으로 이동하지 않고 중앙 위치에서 스냅샷에 쉽게 액세스할 수 있습니다.

스냅샷을 업로드하려면 사용 가능한 AWS S3 버킷이 있어야 합니다. 또한 다음과 같이 해야 합니다.

  • AWS에서 관리형 정책을 만듭니다.
  • Sophos Central에 AWS 계정을 추가합니다.
  • S3 버킷에 대한 액세스를 제한하는 AWS 버킷 정책을 만듭니다.
  • (선택 사항) AWS 버킷 수명 주기 정책을 생성하여 더 이상 필요하지 않은 데이터를 지웁니다.
  • 포렌식 로그 수집


    여기에서 AWS S3 버킷에 업로드를 설정하면 새로운 Forensic 로그 수집 기능이 동일한 설정을 사용하여 로그를 업로드합니다.

    법의학적 로그 수집은 현재 Sophos Central API를 통해서만 사용할 수 있습니다. See https://developer.sophos.com/docs/endpoint-v1/1/overview.

관리형 정책 만들기

AWS에서 관리형 정책을 만들려면 다음과 같이 하십시오.

  1. AWS(Amazon Web Services) 대시보드의 보안, ID 및 규정 준수에서 IAM 으로 이동합니다.
  2. 왼쪽 메뉴에서 역할를 클릭합니다.
  3. 정책 만들기를 클릭합니다.
  4. JSON 탭을 선택합니다.
  5. 아래 표시된 정책 문서를 추가합니다.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket",
                    "s3:PutObject"
                ],
                "Resource": [
                    "arn:aws:s3:::<bucketName>",
                    "arn:aws:s3:::<bucketName>/*"
                ]
            }
        ]
    }
    

    참고

    <bucketName 을> 스냅샷을 업로드할 버킷의 이름으로 바꿉니다.

  6. 정책 검토를 클릭하여 복사된 정책이 유효한지 확인합니다.

  7. 정책 이름을 지정합니다.

    예: "Sophos-Central-Forensic-Snapshot-Upload".

  8. 설명을 제공합니다.

    예: 이 정책을 통해 Sophos Central는 지정된 S3 버킷에 포렌식 스냅샷을 업로드할 수 있습니다.

  9. 정책 만들기를 클릭합니다.

Sophos Central에 AWS 계정 추가

계정을 추가하려면 다음과 같이 하십시오.

  1. Sophos Central에서, 나의 제품 > 일반 설정 > 포렌식 스냅샷을 클릭합니다.
  2. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.를 켭니다.
  3. AWS 계정 IDAWS 외부 계정 ID를 기록합니다.
  4. Amazon Web Services에서 다음을 수행하여 IAM 역할을 만듭니다.

    1. AWS 관리 콘솔의 보안 및 ID 아래에서 ID 및 액세스 관리 로 이동합니다.
    2. 왼쪽 메뉴에서 역할를 클릭합니다.
    3. 역할 만들기를 클릭합니다.
    4. 신뢰할 수 있는 엔터티 유형에서 사용자 지정 트러스트 정책을 선택합니다.
    5. 아래 표시된 정책 문서를 추가합니다.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::<accountId>:root"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                          "sts:ExternalId": "<externalId>"
                      }
                  }
              }
          ]
      }
      

      참고

      <AccountId> 및 <ExternalId를> * * 앞서 기록한 계정 ID 및 외부 ID로 바꿉니다.

    6. 다음 을 클릭하여 사용 권한 페이지로 이동합니다.

    7. 앞서 생성한 정책을 첨부합니다(예: "Sophos-Central-Forensic-Data-Upload").
    8. (선택 사항) 권한 경계 설정 을 확장하고 권한 경계 사용 을 클릭하여 최대 역할 권한을 제어하는 것이 좋습니다.

      1. 앞에서 생성한 정책(예: "Sophos-Central-Forensic-Data-Upload")을 연결합니다.
    9. 펌웨어 이름을 입력합니다.

    10. 선택 사항. 고객 설명을 입력합니다.
    11. 역할 만들기를 클릭합니다.
    12. 이제 이 역할을 보고 역할 ARN (아마존 리소스 이름)을 복사합니다.

    계정을 Sophos Central에 추가하기 전에 이 역할이 AWS의 모든 영역에 전파될 때까지 기다려야 합니다. 이 작업은 최대 5분이 소요될 수 있습니다.

  5. Sophos Central의 포렌식 스냅샷 페이지에서 다음을 실행합니다.

    1. S3 버킷 이름을 입력합니다. 이 이름은 관리되는 정책의 버킷 이름과 일치해야 합니다.
    2. (선택 사항) 스냅샷을 업로드할 S3 버킷의 디렉토리 이름을 입력합니다.
    3. AWS에서 만든 역할 ARN을 입력합니다.
    4. 저장을 클릭합니다.

버킷 정책 만들기

S3 버킷에 대한 액세스를 제한하는 버킷 정책을 만들 것을 적극 권장합니다. 정책의 예는 다음과 같습니다.

다음 버킷 정책을 추가합니다.

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Deny",
            "Principal":"*",
            "Action":"S3.*",
            "Resource":[
                "arn:aws:s3:::<bucketName>*",
                "arn:aws:s3:::<bucketName>/*"
            ],
            "Condition":{
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::<customerAccountId>:root",
                        "arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
                    ]
                }
            }
        }
    ]
}

다음과 같이 개체 틀을 교체합니다.

  • <버킷이름>: 포렌식 데이터를 업로드할 버킷의 이름입니다.
  • <고객 계정 ID>: AWS 계정 ID: 오른쪽 상단에 있는 사용자 이름을 클릭하여 AWS 콘솔에서 찾을 수 있습니다.
  • <iamRoleName>: 이전 섹션에서 생성한 IAM 역할의 이름입니다.

이 정책은 다음 사용자만 버킷에 업로드하거나 버킷의 데이터에 액세스할 수 있도록 허용합니다.

  • 계정의 소유자입니다.
  • 이전에 생성한 IAM 역할에 의해 설정된 권한을 가진 모든 계정(Sophos만 가능)

버킷 정책 만들기

S3 버킷에 대한 수명 주기 정책을 설정하는 것이 좋습니다. 이 정책은 원치 않는 추가 비용을 발생시키는 것을 방지합니다.

법의학 데이터 파일이 크면 Sophos Endpoint가 자동으로 데이터를 부분적으로 업로드합니다. 통제할 수 없는 중단이 발생하면 다중 부분 업로드가 중단되어 버킷에 불완전한 데이터가 생길 수 있습니다. AWS는 이 불완전한 데이터를 저장하는 데 비용을 청구할 수 있습니다. 이를 방지하려면 불완전한 업로드를 정리하는 수명주기 정책을 버킷에 생성합니다.

새 정책을 생성하려면 다음과 같이 하십시오.

  1. AWS 관리 콘솔에 로그인합니다.
  2. https://console.aws.amazon.com/s3/ 에서 Amazon S3 콘솔을 엽니다.
  3. Buckets (버킷) 목록에서 법의학 데이터를 업로드할 버킷을 선택합니다.
  4. 관리 탭을 선택하고 수명주기 규칙 작성을 선택합니다.
  5. Lifecycle rule name(문서 수정 상태 규칙 이름) 에 규칙의 이름을 입력합니다(예: "Delete incomplete multipart uploads(완료되지 않은 다중
  6. 이 규칙은 버킷의 모든 오브젝트에 적용됩니다를 선택합니다.
  7. 수명 주기 규칙 작업에서 만료된 개체 삭제 마커 또는 완료되지 않은 다중 업로드 삭제를 선택합니다.
  8. 만료된 개체 삭제 마커 또는 완료되지 않은 멀티파트 업로드 삭제에서 완료되지 않은 멀티파트 업로드 삭제를 선택합니다.
  9. 일 수에 7일을 입력합니다.
  10. 규칙 만들기을 클릭합니다.

알려진 문제

  • KMS 암호화를 사용하여 버킷에 업로드하는 기능은 지원되지 않지만 AES-256 암호화는 지원됩니다. S3 버킷에서 AES-256 암호화를 꼭 활성화할 필요는 없지만, 하는 것이 좋습니다. 는 AES-256 암호화 헤더가 있는 스냅샷을 업로드합니다.
  • 버킷 이름에 대한 특수 문자는 지원되지 않습니다. 허용되는 문자 목록은 개체 키 및 메타데이터를 참조하십시오.
  • 사용자 환경에 방화벽이 있는 경우, 현재 규칙이 AWS S3 버킷에 스냅샷을 업로드하도록 허용하는지 확인합니다. 이 권장 사항은 Sophos Firewall 및 기타 방화벽에 적용됩니다.