將取證快照上傳至 AWS S3 桶

預設情況下，快照儲存在本地電腦上。或者，您可以將快照上傳到 Amazon Web Services (AWS) S3 貯體。這使您可以輕鬆存取中心位置的快照，而不用前往每台電腦。

若要上傳快照，您必須有可用的 AWS S3 貯體。您還需要進行以下操作：

• 在 AWS 中建立受管理的策略。
• 將您的 AWS 帳戶新增至Sophos Central。
• (可選) 建立 AWS 貯體策略，以限制對 S3 貯體的存取。
• 建立一個 AWS 存儲桶生命週期策略，以清理您不再需要的資料。

建立受管理策略

若要在 AWS 中建立託管原則，請依照以下步驟操作：

1. 在Amazon Web Services（AWS）儀表板中，在安全性、身分識別和符合性下，前往IAM。
2. 在左側功能表中，按一下 原則。
3. 點擊建立策略。
4. 選取 JSON 索引標籤。

5. 請新增以下所示的政策文件:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucketName>",
                   "arn:aws:s3:::<bucketName>/*"
               ]
           }
       ]
   }
   

   注意

   您需要將<bucket-name> 替換爲要上傳快照的貯體名稱。

6. 點擊檢視策略以查看複製的策略是否有效。

7. 命名策略。

   範例："Sophos-Central-Forensic-Snapshot-Upload".

8. 提供說明。

   範例："此策略允許Sophos Central將取證快照上載到給定的 S3 貯體。"

9. 點擊建立策略。

將 AWS 帳戶新增至 Sophos Central

若要新增您的賬戶，請依照以下步驟操作：

1. 按一下「一般設定」圖示。
2. 在通用下，點擊取證快照。
3. 開啟 將取證快照上傳至 AWS S3 桶。
4. 記下 AWS 帳號 ID： 和 AWS 外部 ID：。

5. 在 Amazon Web Services 中，執行下列操作來建立 IAM 角色：

   1. 在 AWS 管理控制台中，在\安全性與身分識別
   2. 在左側功能表中，按一下 角色。
   3. 點擊建立角色。
   4. 在受信任的實體類型下，選擇自訂信任政策。

   5. 請新增以下所示的政策文件:

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::<accountId>:root"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                          "sts:ExternalId": "<externalId>"
                      }
                  }
              }
          ]
      }
      

      注意

      以您先前註記的帳戶 ID和外部 ID取代<accountId>和<externalId>。

   6. 點擊下一步到達權限頁面。

   7. 請附上您先前建立的原則，例如「Sophos-Central-Forensic-Data-Upload」。

   8. 我們強烈建議您擴大設定權限邊界，並點擊使用權限邊界來控制最大角色權限。

      1. 附加先前建立的原則，例如「Sophos-Central-Forensic-Data-Upload」。

   9. 輸入角色名稱。

   10. 可选。輸入 角色描述。
   11. 點擊建立角色。
   12. 點擊建立角色，然後複製角色 ARN（Amazon 資源名稱）。

   您必須等待此角色傳播至 AWS 中的所有區域，才能將帳戶新增至 Sophos Central。此可能需要最多 5 分鐘。

6. 在取證快照頁面上的Sophos Central中，執行以下操作：

   1. 請輸入 S3 存儲桶名稱。這必須與管理原則中的存儲桶名稱相符。
   2. (Optional) 輸入您希望將快照上傳到的 S3 存放桶中的目錄名稱。
   3. 輸入在 AWS 中建立的角色 ARN 。
   4. 按一下儲存。

建立貯體策略

我們強烈建議您建立一個存儲桶原則，以限制對 S3 存儲桶的訪問。下方顯示了一個範例政策。

新增以下貯體策略：

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Deny",
            "Principal":"*",
            "Action":"S3.*",
            "Resource":[
                "arn:aws:s3:::<bucketName>*",
                "arn:aws:s3:::<bucketName>/*"
            ],
            "Condition":{
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::<customerAccountId>:root",
                        "arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
                    ]
                }
            }
        }
    ]
}

請按如下方式替換佔位符：

• <bucketName>: 將上傳法醫資料的儲存桶名稱。
• <customerAccountId>: AWS 帳號 ID：您可以透過點擊右上角的使用者名稱在 AWS 控制台上找到它。
• <iamRoleName>: 前一節中建立的 IAM 角色的名稱。

此策略僅允許以下使用者上傳至儲存桶或存取其中的資料：

• 帳戶的擁有者。
• 由之前建立的IAM 角色設置權限的任何帳戶（僅可為Sophos）。

建立貯體策略

我們強烈建議您為您的 S3 存儲桶設定生命周期政策。該策略可避免產生不必要的額外成本。

當鑑識資料檔案過大時，Sophos 端點會自動將資料分批上傳。若發生我們無法控制的中斷服務，多部分傳輸可能會中斷，進而導致存儲桶中的資料不完整。AWS 可能會就儲存此不完整資料向您收費。為了避免這種情況，請在存儲桶上建立一個生命週期策略，清理未完成的上傳。

如需建立新原則，請執行以下操作：

1. 登入 Google Developer Console。
2. 在 https://console.aws.amazon.com/s3/ 開啟 Amazon S3 控制台。
3. 在\桶\清單中，選擇要上傳法證數據的桶。
4. 選擇管理索引標籤，並選擇建立生命週期規則。
5. 在生命週期規則名稱中，請輸入您的規則名稱，例如"刪除未完成的分段上傳"
6. 選擇 此規則適用於存儲桶中的所有物件。
7. 在生命週期規則操作下，選擇刪除過期物件刪除標記或未完成的分段上傳。
8. 在刪除過期的物件刪除標記或不完整的多部分上傳下，選擇刪除不完整的多部分上傳。
9. 在天數中，輸入7天。
10. 按一下 建立規則。

已知問題

• 不支援以 KMS 加密上傳至貯體，但支援 AES-256 加密。您不必在 S3 貯體上啟用 AES-256 加密，但我們建議您啟用。 使用 AES-256 加密標頭上傳快照。
• 貯體名稱不支援特殊字符。如需允許的字元清單，請參閱物件索引鍵和中繼資料。
• 如果您的環境中有防火牆，請檢查您的規則是否允許將快照上傳至 AWS S3 貯體。此建議適用於Sophos防火牆以及其他防火牆。