Forensischen Snapshot in einen AWS-S3-Bucket hochladen
Sie können forensische Snapshots nur von Windows-Geräten hochladen. Sie müssen auch über eine XDR- oder MDR-Lizenz verfügen.
Standardmäßig werden Snapshots auf dem lokalen Computer gespeichert. Sie können Snapshots jedoch auch in einen AWS S3-Bucket hochladen. So können Sie Ihre Snapshots ganz einfach an einem zentralen Speicherort abrufen.
Zum Hochladen von Snapshots benötigen Sie einen verfügbaren AWS-S3-Bucket. Führen Sie folgende Schritte aus:
- Erstellen Sie eine verwaltete Richtlinie in AWS.
- Fügen Sie Ihr AWS-Konto zu Sophos Central hinzu.
- (Optional) Erstellen Sie eine AWS Bucket-Richtlinie, um den Zugriff auf den S3-Bucket zu beschränken.
- (Optional) Erstellen Sie eine AWS-Bucket-Lebenszyklusrichtlinie, um Daten zu löschen, die Sie nicht mehr benötigen.
-
Forensische Protokollerfassung
Wenn Sie hier die Einrichtung für Uploads in einen AWS-S3-Bucket vornehmen, verwendet unsere neue forensische Protokollerfassung dieselben Einstellungen zum Hochladen von Protokollen.
Die forensische Protokollerfassung ist derzeit nur über unsere Sophos Central-API verfügbar. Siehe https://developer.sophos.com/docs/Endpoint-v1/1/overview.
Erstellen einer verwalteten Richtlinie
Verfahren Sie zur Erstellung einer verwalteten Richtlinie in AWS wie folgt:
- Gehen Sie im Dashboard von Amazon Web Services (AWS) unter Security, Identity and Compliance zu IAM.
- Klicken Sie im linken Menü auf Policies.
- Klicken Sie auf Richtlinie erstellen.
- Wählen Sie die Registerkarte JSON.
-
Fügen Sie das unten gezeigte Richtliniendokument hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<bucketName>", "arn:aws:s3:::<bucketName>/*" ] } ] }
Hinweis
Ersetzen Sie <bucketName> durch den Namen des Bucket, in den Ihre Snapshots hochgeladen werden.
-
Klicken Sie auf Richtlinie überprüfen, um zu überprüfen, ob die kopierte Richtlinie gültig ist.
-
Geben Sie der Richtlinie einen Namen.
Beispiel: "Sophos-Central-Forensic-Snapshot-Upload".
-
Geben Sie eine Beschreibung ein.
Beispiel: „Mit dieser Richtlinie kann Sophos Central forensische Snapshots in einen bestimmten S3-Bucket hochladen.“
-
Klicken Sie auf Richtlinie erstellen.
AWS-Konto zu Sophos Central hinzufügen
Um Ihr Konto hinzuzufügen, gehen Sie folgendermaßen vor:
- Gehen Sie in Sophos Central zu Meine Produkte > Allgemeine Einstellungen > Forensische Snapshots.
- Aktivieren Sie Forensischen Snapshot in einen AWS-S3-Bucket hochladen.
- Notieren Sie sich AWS Konto-ID und AWS Externe ID.
-
Erstellen Sie in Amazon Web Services die IAM-Rolle wie folgt:
- Gehen Sie in der AWS-Verwaltungskonsole unter Security & Identity zu Identity & Access Management.
- Klicken Sie im linken Menü auf Roles.
- Klicken Sie auf Rolle erstellen.
- Wählen Sie unter Trusted entity type die Option Custom trust policy aus.
-
Fügen Sie das unten gezeigte Richtliniendokument hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountId>:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<externalId>" } } } ] }
Hinweis
Ersetzen Sie <accountId> und <externalId> durch die Konto-ID und externe ID, die Sie zuvor notiert haben.
-
Klicken Sie auf Next, um zur Seite Permissions zu gehen.
- Hängen Sie die zuvor erstellte Richtlinie an, zum Beispiel „Sophos-Central-Forensic-Data-Upload“.
-
(Optional) Wir empfehlen dringend, dass Sie die Option Set permissions boundary erweitern und auf Use a permissions boundary to control the maximum role permissions klicken.
- Fügen Sie die zuvor erstellte Richtlinie hinzu, zum Beispiel „Sophos-Central-Forensic-Data-Upload“.
-
Geben Sie einen Role name ein.
- Optional. Geben Sie eine Role description ein.
- Klicken Sie auf Rolle erstellen.
- Zeigen Sie diese Rolle nun an und kopieren Sie den Role ARN (Amazon Resource Name).
Warten Sie, bis diese Rolle auf alle Regionen in AWS übertragen wird, bevor Sie das Konto zu Sophos Central hinzufügen. Dies kann bis zu fünf Minuten dauern.
-
Gehen Sie in Sophos Central auf der Seite Forensische Snapshots wie folgt vor:
- Geben Sie den S3-Bucket-Namen ein. Dieser muss mit dem Bucket-Namen in der verwalteten Richtlinie übereinstimmen.
- (Optional) Geben Sie den Namen des Verzeichnisses im S3-Bucket ein, in das die Snapshots hochgeladen werden sollen.
- Geben Sie den Rollen-ARN ein, der zuvor in AWS erstellt wurde.
- Klicken Sie auf Speichern.
Erstellen einer Bucket-Richtlinie
Wir empfehlen dringend, eine Bucket-Richtlinie zu erstellen, um den Zugriff auf den S3-Bucket zu beschränken. Ein Beispiel für eine Richtlinie ist unten dargestellt.
Fügen Sie die folgende Bucket-Richtlinie hinzu:
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Principal":"*",
"Action":"S3.*",
"Resource":[
"arn:aws:s3:::<bucketName>*",
"arn:aws:s3:::<bucketName>/*"
],
"Condition":{
"StringNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::<customerAccountId>:root",
"arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
]
}
}
}
]
}
Ersetzen Sie die Platzhalter wie folgt:
- <bucketName>: Der Name des Bucket, in den die forensischen Daten hochgeladen werden.
- <customerAccountId>: Ihre AWS-Konto-ID. Sie finden sie auf der AWS-Konsole, indem Sie oben rechts auf Ihren Benutzernamen klicken.
- <iamRoleName>: Der Name der IAM-Rolle, die im vorherigen Abschnitt erstellt wurde.
Mit dieser Richtlinie können nur die folgenden Benutzer in den Bucket hochladen oder auf die darin enthaltenen Daten zugreifen:
- Der Eigentümer des Kontos.
- Jedes Konto mit Berechtigungen, die von der zuvor erstellten IAM-Rolle festgelegt wurden (was nur Sophos sein kann).
Bucket-Lebenszyklusrichtlinie erstellen
Wir empfehlen dringend, eine Lebenszyklusrichtlinie für Ihren S3-Bucket festzulegen. Durch diese Richtlinie werden unerwünschte zusätzliche Kosten vermieden.
Wenn die forensischen Dateien groß sind, lädt der Sophos-Endpoint die Daten automatisch in Teilen hoch. Wenn es einen Ausfall gibt, der außerhalb unserer Kontrolle liegt, können mehrteilige Uploads unterbrochen werden, was dazu führen könnte, dass der Bucket unvollständige Daten enthält. AWS könnte Ihnen die Speicherung dieser unvollständigen Daten in Rechnung stellen. Um dies zu vermeiden, erstellen Sie eine Lebenszyklusrichtlinie für den Bucket, bei der unvollständige Uploads bereinigt werden.
Gehen Sie wie folgt vor, um eine Lebenszyklusrichtlinie zu erstellen:
- Melden Sie sich bei der AWS-Verwaltungskonsole an.
- Öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.
- Wählen Sie in der Liste Buckets den Bucket aus, in den die forensischen Daten hochgeladen werden sollen.
- Wählen Sie die Registerkarte Management und dann Create lifecycle rule aus.
- Geben Sie unter Lifecycle rule name einen Namen für Ihre Regel ein, zum Beispiel „unvollständige mehrteilige Uploads löschen“.
- Wählen Sie This rule applies to all objects in the bucket aus.
- Wählen Sie unter Lifecycle rule actions die Option Delete expired object delete markers or incomplete multipart uploads aus.
- Wählen Sie unter Delete expired object delete markers or incomplete multipart uploads die Option Delete incomplete multipart uploads aus.
- Geben Sie in Number of days 7 Tage ein.
- Klicken Sie auf Neue Regel.
Bekannte Probleme
- Das Hochladen in Buckets mit KMS-Verschlüsselung wird nicht unterstützt, aber die AES-256-Verschlüsselung wird unterstützt. Sie müssen die AES-256-Verschlüsselung auf einem S3-Bucket nicht aktivieren, wir empfehlen dies aber. Wir laden Snapshots mit einem AES-256-Verschlüsselungsheader hoch.
- Sonderzeichen für Bucket-Namen werden nicht unterstützt. Eine Liste der zulässigen Zeichen finden Sie unter Arbeiten mit Objekt-Metadaten.
- Wenn Sie eine Firewall in Ihrer Umgebung haben, sollten Sie sicherstellen, dass Ihre Regeln das Hochladen von Snapshots in den AWS-S3-Bucket zulassen. Diese Empfehlung gilt für Sophos Firewall und andere Firewalls.