將取證快照上傳至 AWS S3 桶
您只能從 Windows 電腦上傳取證快照。您還必須具有XDR或MDR授權。
預設情況下,快照儲存在本地電腦上。或者,您可以將快照上傳到 Amazon Web Services (AWS) S3 貯體。這使您可以輕鬆存取中心位置的快照,而不用前往每台電腦。
若要上傳快照,您必須有可用的 AWS S3 貯體。您還需要進行以下操作:
- 在 AWS 中建立受管理的策略。
- 將您的 AWS 帳戶新增至Sophos Central。
- (可選) 建立 AWS 貯體策略,以限制對 S3 貯體的存取。
- (可選)創建AWS庫生命週期策略以清除您不再需要的數據。
-
取證日誌收集
如果您在此處設定上傳至AWS S3存儲桶,我們新的取證日誌收集功能將使用相同的設定來上傳日誌。
取證日誌收集當前僅可通過我們的Sophos Central API進行。見 https://developer.sophos.com/docs/endpoint-v1/1/overview。
建立受管理策略
若要在 AWS 中建立託管原則,請依照以下步驟操作:
- 在亞馬遜Web服務(AWS)儀表板中,在 安全,身份和合規性下,轉至 IAM。
- 在左側功能表中,按一下 原則。
- 點擊建立策略。
- 選取 JSON 索引標籤。
-
添加如下所示的政策文件:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<bucketName>", "arn:aws:s3:::<bucketName>/*" ] } ] }
注意
將 <bucketName替換> 為快照將上傳的存儲桶的名稱。
-
點擊檢視策略以查看複製的策略是否有效。
-
命名策略。
範例:"Sophos-Central-Forensic-Snapshot-Upload".
-
提供說明。
範例:"此策略允許Sophos Central將取證快照上載到給定的 S3 貯體。"
-
點擊建立策略。
將 AWS 帳戶新增至 Sophos Central
若要新增您的賬戶,請依照以下步驟操作:
- 在 Sophos Central 中,移至 我的產品 > 一般設定 > 取證快照。
- 開啟 將取證快照上傳至 AWS S3 桶。
- 記下 AWS 帳號 ID: 和 AWS 外部 ID:。
-
在 Amazon Web Services 中,執行下列操作來建立 IAM 角色:
- 在AWS管理控制檯中,在 安全和身份下,轉到 身份和訪問管理。
- 在左側功能表中,按一下 角色。
- 點擊建立角色。
- 在 受信任實體類型下,選擇 自定義信任策略。
-
添加如下所示的政策文件:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountId>:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<externalId>" } } } ] }
注意
將 <AccountID> 和 <externalId替換> 為 * * 前面記下的帳戶ID和外部ID。
-
單擊 “下一步 ”轉到“ 權限 ”頁面。
- 附加先前創建的策略,例如"Sophos-Central-Forensic-Data-Upload"。
-
(可選)強烈建議您展開 “設定權限邊界 ”,然後單擊“ 使用權限邊界控制最大角色權限”。
- 附加先前創建的策略,例如"Sophos-Central-Forensic-Data-Upload"。
-
輸入角色名稱。
- 可选。輸入 角色描述。
- 點擊建立角色。
- 現在查看此職位並復制其 職位ARN (亞馬遜資源名稱)。
您必須等待此角色傳播至 AWS 中的所有區域,才能將帳戶新增至 Sophos Central。此可能需要最多 5 分鐘。
-
在取證快照頁面上的Sophos Central中,執行以下操作:
- 輸入S3庫位名稱。這必須與託管策略中的存儲桶名稱匹配。
- (可選)在S3存儲段中輸入要上載快照的目錄的名稱。
- 輸入在 AWS 中建立的角色 ARN 。
- 按一下儲存。
建立貯體策略
我們強烈建議您建立儲存格政策,以限制存取S3儲存格。下麵顯示了一個示例策略。
新增以下貯體策略:
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Principal":"*",
"Action":"S3.*",
"Resource":[
"arn:aws:s3:::<bucketName>*",
"arn:aws:s3:::<bucketName>/*"
],
"Condition":{
"StringNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::<customerAccountId>:root",
"arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
]
}
}
}
]
}
按如下所示替換占位符:
- <bucketname>(文件名)取證數據將上載到的桶的名稱。
- <CustomerAccountId>:您的AWS帳戶ID。您可以在AWS控制臺上單擊右上角的用戶名來找到它。
- <iamRoleName>:在上一部分中創建的IAM角色的名稱。
此策略僅允許以下用戶上載到存儲桶或訪問存儲桶中的數據:
- 帳戶的所有者。
- 任何具有先前創建的IAM角色設定的權限的帳戶(只能是Sophos)。
創建庫位生命週期策略
我們強烈建議您為您的S3庫位設定生命週期政策。此策略可避免產生不必要的額外成本。
當取證數據文件很大時,Sophos Endpoint會自動上傳部分數據。如果發生超出我們控制範圍的中斷,多部分上傳可能會中斷,這可能會導致存儲桶中的數據不完整。AWS可能會因儲存此不完整的資料而收取費用。為避免這種情況,請在存儲桶上創建一個生命週期策略,以清除未完成的上傳。
如需建立新原則,請執行以下操作:
- 登入AWS管理控制臺。
- 在https://console.aws.amazon.com/s3/上打開Amazon S3控制臺。
- 在" 庫位 "列表中,選擇要上載取證數據的庫位。
- 選擇 管理 選項卡,然後選擇 創建生命週期規則。
- 在 “生命週期規則名稱”中,輸入規則的名稱,例如“删除incomplete multipart uploads”。
- 選擇 此規則應用於桶中的所有對象。
- 在 “生命週期規則操作”下,選擇 “删除expired object删除markers or incomplete multipart
- 在 “删除expired object删除markers or incomplete multipart uploads 删除”
- 在 天數中,輸入7天。
- 按一下 建立規則。
已知問題
- 不支援以 KMS 加密上傳至貯體,但支援 AES-256 加密。您不需要在S3存儲桶上打開256加密,但我們建議您這樣做。我們使用256加密標頭上傳快照。
- 不支援桶名稱的特殊字元。有關允許的字符列表,請參閱 使用對象元數據。
- 如果您的環境中有防火牆,請檢查您的規則是否允許將快照上傳至 AWS S3 貯體。此建議適用於Sophos Firewall和其他防火牆。