Forensische Snapshots
Forensische Snapshots rufen Daten aus einem Sophos-Protokoll über die Aktivität des betroffenen Computers ab. Sie können dann Ihre eigene Analyse durchführen.
Sie können einen forensischen Snapshot aus einem Bedrohungsgraph oder von der Registerkarte Status auf der Seite mit den Gerätedetails erstellen.
Gehen Sie zu Meine Produkte > Allgemeine Einstellungen > Forensische Snapshots.
Sie können Datenmenge und Speicherort forensischer Snapshots konfigurieren.
Hinweis
Die Konfigurationsoptionen sind unter Umständen noch nicht für alle Kunden verfügbar.
Zeitraum für forensische Snapshots festlegen
Standardmäßig erfassen Snapshots die Daten der letzten beiden Wochen.
In diesem Bereich können Sie einen anderen Zeitraum festlegen oder angeben, dass alle verfügbaren Daten einbezogen werden sollen.
Forensischen Snapshot in einen AWS-S3-Bucket hochladen
Standardmäßig werden Snapshots auf dem lokalen Computer gespeichert.
Sie können Snapshots jedoch auch in einen AWS-S3-Bucket hochladen. So können Sie Ihre Snapshots ganz einfach an einem zentralen Speicherort abrufen.
- Geben Sie den Namen des S3-Buckets sowie das Verzeichnis an, in das Sie Ihre Snapshots hochladen möchten.
-
Erstellen Sie auf Ihrer AWS-Konsole eine neue IAM-Rolle. Sie müssen die Daten des Sophos Proxy-Kontos angeben, das die Snapshot-Daten in Ihren S3-Bucket ablegt. Geben Sie die AWS-Konto-ID und AWS Externe ID ein, die wir bereitgestellt haben.
Ausführliche Informationen zum Einrichten eines AWS S3-Bucket, damit Sie Snapshots hochladen können, finden Sie unter Hochladen eines forensischen Snapshots in einen AWS S3-Bucket.
-
Rufen Sie erneut die Seite Forensische Snapshots auf und geben Sie den ARN (Amazon Resource Name) ein.
- Klicken Sie auf Speichern.
Hinweis
Wenn Sie Sophos Firewall verwenden, blockiert dies möglicherweise den Datenverkehr zum S3 Bucket. Aktualisieren Sie in diesem Fall die Richtlinie der Firewall, um diesen Datenverkehr zuzulassen.
Einschränkung
Eine von AWS festgelegte Einschränkung bedeutet, dass Uploads abgebrochen werden, wenn sie länger als eine Stunde dauern. Dies ist wahrscheinlicher, wenn die Daten im Snapshot einen langen Zeitraum umfassen.