跳至內容
部分或全部頁面已經過機器翻譯。

將取證快照上傳至 AWS S3 桶

您只能從 Windows 電腦上傳取證快照。您還必須具有XDR或MDR授權。

預設情況下,快照儲存在本地電腦上。或者,您可以將快照上傳到 Amazon Web Services (AWS) S3 貯體。這使您可以輕鬆存取中心位置的快照,而不用前往每台電腦。

若要上傳快照,您必須有可用的 AWS S3 貯體。您還需要進行以下操作:

  • 在 AWS 中建立受管理的策略。
  • 將您的 AWS 帳戶新增至Sophos Central。
  • (可選) 建立 AWS 貯體策略,以限制對 S3 貯體的存取。
  • (可選)創建AWS庫生命週期策略以清除您不再需要的數據。
  • 取證日誌收集


    如果您在此處設定上傳至AWS S3存儲桶,我們新的取證日誌收集功能將使用相同的設定來上傳日誌。

    取證日誌收集當前僅可通過我們的Sophos Central API進行。見 https://developer.sophos.com/docs/endpoint-v1/1/overview。

建立受管理策略

若要在 AWS 中建立託管原則,請依照以下步驟操作:

  1. 在亞馬遜Web服務(AWS)儀表板中,在 安全,身份和合規性下,轉至 IAM
  2. 在左側功能表中,按一下 原則
  3. 點擊建立策略
  4. 選取 JSON 索引標籤。
  5. 添加如下所示的政策文件:

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket",
                    "s3:PutObject"
                ],
                "Resource": [
                    "arn:aws:s3:::<bucketName>",
                    "arn:aws:s3:::<bucketName>/*"
                ]
            }
        ]
    }
    

    注意

    將 <bucketName替換> 為快照將上傳的存儲桶的名稱。

  6. 點擊檢視策略以查看複製的策略是否有效。

  7. 命名策略。

    範例:"Sophos-Central-Forensic-Snapshot-Upload".

  8. 提供說明。

    範例:"此策略允許Sophos Central將取證快照上載到給定的 S3 貯體。"

  9. 點擊建立策略

將 AWS 帳戶新增至 Sophos Central

若要新增您的賬戶,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至 我的產品 > 一般設定 > 取證快照
  2. 開啟 將取證快照上傳至 AWS S3 桶
  3. 記下 AWS 帳號 ID:AWS 外部 ID:
  4. 在 Amazon Web Services 中,執行下列操作來建立 IAM 角色:

    1. 在AWS管理控制檯中,在 安全和身份下,轉到 身份和訪問管理
    2. 在左側功能表中,按一下 角色
    3. 點擊建立角色
    4. 受信任實體類型下,選擇 自定義信任策略
    5. 添加如下所示的政策文件:

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::<accountId>:root"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                          "sts:ExternalId": "<externalId>"
                      }
                  }
              }
          ]
      }
      

      注意

      將 <AccountID> 和 <externalId替換> 為 * * 前面記下的帳戶ID和外部ID。

    6. 單擊 “下一步 ”轉到“ 權限 ”頁面。

    7. 附加先前創建的策略,例如"Sophos-Central-Forensic-Data-Upload"。
    8. (可選)強烈建議您展開 “設定權限邊界 ”,然後單擊“ 使用權限邊界控制最大角色權限”。

      1. 附加先前創建的策略,例如"Sophos-Central-Forensic-Data-Upload"。
    9. 輸入角色名稱

    10. 可选。輸入 角色描述
    11. 點擊建立角色
    12. 現在查看此職位並復制其 職位ARN (亞馬遜資源名稱)。

    您必須等待此角色傳播至 AWS 中的所有區域,才能將帳戶新增至 Sophos Central。此可能需要最多 5 分鐘。

  5. 取證快照頁面上的Sophos Central中,執行以下操作:

    1. 輸入S3庫位名稱。這必須與託管策略中的存儲桶名稱匹配。
    2. (可選)在S3存儲段中輸入要上載快照的目錄的名稱。
    3. 輸入在 AWS 中建立的角色 ARN
    4. 按一下儲存

建立貯體策略

我們強烈建議您建立儲存格政策,以限制存取S3儲存格。下麵顯示了一個示例策略。

新增以下貯體策略:

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Deny",
            "Principal":"*",
            "Action":"S3.*",
            "Resource":[
                "arn:aws:s3:::<bucketName>*",
                "arn:aws:s3:::<bucketName>/*"
            ],
            "Condition":{
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::<customerAccountId>:root",
                        "arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
                    ]
                }
            }
        }
    ]
}

按如下所示替換占位符:

  • <bucketname>(文件名)取證數據將上載到的桶的名稱。
  • <CustomerAccountId>:您的AWS帳戶ID。您可以在AWS控制臺上單擊右上角的用戶名來找到它。
  • <iamRoleName>:在上一部分中創建的IAM角色的名稱。

此策略僅允許以下用戶上載到存儲桶或訪問存儲桶中的數據:

  • 帳戶的所有者。
  • 任何具有先前創建的IAM角色設定的權限的帳戶(只能是Sophos)。

創建庫位生命週期策略

我們強烈建議您為您的S3庫位設定生命週期政策。此策略可避免產生不必要的額外成本。

當取證數據文件很大時,Sophos Endpoint會自動上傳部分數據。如果發生超出我們控制範圍的中斷,多部分上傳可能會中斷,這可能會導致存儲桶中的數據不完整。AWS可能會因儲存此不完整的資料而收取費用。為避免這種情況,請在存儲桶上創建一個生命週期策略,以清除未完成的上傳。

如需建立新原則,請執行以下操作:

  1. 登入AWS管理控制臺。
  2. 在https://console.aws.amazon.com/s3/上打開Amazon S3控制臺。
  3. 在" 庫位 "列表中,選擇要上載取證數據的庫位。
  4. 選擇 管理 選項卡,然後選擇 創建生命週期規則
  5. “生命週期規則名稱”中,輸入規則的名稱,例如“删除incomplete multipart uploads”。
  6. 選擇 此規則應用於桶中的所有對象
  7. “生命週期規則操作”下,選擇 “删除expired object删除markers or incomplete multipart
  8. “删除expired object删除markers or incomplete multipart uploads 删除”
  9. 天數中,輸入7天。
  10. 按一下 建立規則

已知問題

  • 不支援以 KMS 加密上傳至貯體,但支援 AES-256 加密。您不需要在S3存儲桶上打開256加密,但我們建議您這樣做。我們使用256加密標頭上傳快照。
  • 不支援桶名稱的特殊字元。有關允許的字符列表,請參閱 使用對象元數據
  • 如果您的環境中有防火牆,請檢查您的規則是否允許將快照上傳至 AWS S3 貯體。此建議適用於Sophos Firewall和其他防火牆。