將取證快照上傳至 AWS S3 桶

預設情況下，快照儲存在本地電腦上。或者，您可以將快照上傳到 Amazon Web Services (AWS) S3 貯體。這使您可以輕鬆存取中心位置的快照，而不用前往每台電腦。

若要上傳快照，您必須有可用的 AWS S3 貯體。您還需要進行以下操作：

• 在 AWS 中建立受管理的策略。
• 將您的 AWS 帳戶新增至Sophos Central。
• (可選) 建立 AWS 貯體策略，以限制對 S3 貯體的存取。
• (可選)創建AWS庫生命週期策略以清除您不再需要的數據。

建立受管理策略

若要在 AWS 中建立託管原則，請依照以下步驟操作：

1. 在亞馬遜Web服務(AWS)儀表板中，在 安全，身份和合規性下，轉至 IAM。
2. 在左側功能表中，按一下 原則。
3. 點擊建立策略。
4. 選取 JSON 索引標籤。

5. 添加如下所示的政策文件：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucketName>",
                   "arn:aws:s3:::<bucketName>/*"
               ]
           }
       ]
   }
   

   注意

   將 <bucketName替換> 為快照將上傳的存儲桶的名稱。

6. 點擊檢視策略以查看複製的策略是否有效。

7. 命名策略。

   範例："Sophos-Central-Forensic-Snapshot-Upload".

8. 提供說明。

   範例："此策略允許Sophos Central將取證快照上載到給定的 S3 貯體。"

9. 點擊建立策略。

將 AWS 帳戶新增至 Sophos Central

若要新增您的賬戶，請依照以下步驟操作：

1. 在 Sophos Central 中，移至 我的產品 > 一般設定 > 取證快照。
2. 開啟 將取證快照上傳至 AWS S3 桶。
3. 記下 AWS 帳號 ID： 和 AWS 外部 ID：。

4. 在 Amazon Web Services 中，執行下列操作來建立 IAM 角色：

   1. 在AWS管理控制檯中，在 安全和身份下，轉到 身份和訪問管理。
   2. 在左側功能表中，按一下 角色。
   3. 點擊建立角色。
   4. 在 受信任實體類型下，選擇 自定義信任策略。

   5. 添加如下所示的政策文件：

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::<accountId>:root"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                          "sts:ExternalId": "<externalId>"
                      }
                  }
              }
          ]
      }
      

      注意

      將 <AccountID> 和 <externalId替換> 為 * * 前面記下的帳戶ID和外部ID。

   6. 單擊 “下一步 ”轉到“ 權限 ”頁面。

   7. 附加先前創建的策略，例如"Sophos-Central-Forensic-Data-Upload"。

   8. (可選)強烈建議您展開 “設定權限邊界 ”，然後單擊“ 使用權限邊界控制最大角色權限”。

      1. 附加先前創建的策略，例如"Sophos-Central-Forensic-Data-Upload"。

   9. 輸入角色名稱。

   10. 可选。輸入 角色描述。
   11. 點擊建立角色。
   12. 現在查看此職位並復制其 職位ARN (亞馬遜資源名稱)。

   您必須等待此角色傳播至 AWS 中的所有區域，才能將帳戶新增至 Sophos Central。此可能需要最多 5 分鐘。

5. 在取證快照頁面上的Sophos Central中，執行以下操作：

   1. 輸入S3庫位名稱。這必須與託管策略中的存儲桶名稱匹配。
   2. (可選)在S3存儲段中輸入要上載快照的目錄的名稱。
   3. 輸入在 AWS 中建立的角色 ARN 。
   4. 按一下儲存。

建立貯體策略

我們強烈建議您建立儲存格政策，以限制存取S3儲存格。下麵顯示了一個示例策略。

新增以下貯體策略：

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Deny",
            "Principal":"*",
            "Action":"S3.*",
            "Resource":[
                "arn:aws:s3:::<bucketName>*",
                "arn:aws:s3:::<bucketName>/*"
            ],
            "Condition":{
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::<customerAccountId>:root",
                        "arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
                    ]
                }
            }
        }
    ]
}

按如下所示替換占位符：

• <bucketname>(文件名)取證數據將上載到的桶的名稱。
• <CustomerAccountId>：您的AWS帳戶ID。您可以在AWS控制臺上單擊右上角的用戶名來找到它。
• <iamRoleName>：在上一部分中創建的IAM角色的名稱。

此策略僅允許以下用戶上載到存儲桶或訪問存儲桶中的數據：

• 帳戶的所有者。
• 任何具有先前創建的IAM角色設定的權限的帳戶(只能是Sophos)。

創建庫位生命週期策略

我們強烈建議您為您的S3庫位設定生命週期政策。此策略可避免產生不必要的額外成本。

當取證數據文件很大時，Sophos Endpoint會自動上傳部分數據。如果發生超出我們控制範圍的中斷，多部分上傳可能會中斷，這可能會導致存儲桶中的數據不完整。AWS可能會因儲存此不完整的資料而收取費用。為避免這種情況，請在存儲桶上創建一個生命週期策略，以清除未完成的上傳。

如需建立新原則，請執行以下操作：

1. 登入AWS管理控制臺。
2. 在https://console.aws.amazon.com/s3/上打開Amazon S3控制臺。
3. 在" 庫位 "列表中，選擇要上載取證數據的庫位。
4. 選擇 管理 選項卡，然後選擇 創建生命週期規則。
5. 在 “生命週期規則名稱”中，輸入規則的名稱，例如“删除incomplete multipart uploads”。
6. 選擇 此規則應用於桶中的所有對象。
7. 在 “生命週期規則操作”下，選擇 “删除expired object删除markers or incomplete multipart
8. 在 “删除expired object删除markers or incomplete multipart uploads 删除”
9. 在 天數中，輸入7天。
10. 按一下 建立規則。

已知問題

• 不支援以 KMS 加密上傳至貯體，但支援 AES-256 加密。您不需要在S3存儲桶上打開256加密，但我們建議您這樣做。我們使用256加密標頭上傳快照。
• 不支援桶名稱的特殊字元。有關允許的字符列表，請參閱 使用對象元數據。
• 如果您的環境中有防火牆，請檢查您的規則是否允許將快照上傳至 AWS S3 貯體。此建議適用於Sophos Firewall和其他防火牆。