Cargar instantánea forense en un bucket de S3 de AWS

Siga estas instrucciones para cargar una instantánea forense.

Restricción

Esta opción solo está disponible para equipos Windows y requiere Core Agent 2.5.0 y posterior.

De forma predeterminada, las instantáneas se guardan en el ordenador local. Puede cargar las instantáneas en un bucket de S3 de Amazon Web Services (AWS) en su lugar. Esto le permite acceder a las instantáneas fácilmente en una ubicación centralizada en lugar de acceder a cada ordenador.

Para cargar instantáneas, debe contara con un bucket de S3 de AWS disponible. También deberá hacer lo siguiente:

Cree una directiva administrada en AWS.
Agregue su cuenta AWS a Sophos Central.
Cree una política referente a los bucket de AWS para restringir el acceso al bucket de S3.

Para obtener más información sobre los gráficos de amenazas, consulte Análisis de gráficos de amenazas.

Crear una política gestionada

Para crear una política gestionada en AWS, haga lo siguiente:

En el panel de control de Amazon Web Services (AWS), vaya a IAM, ubicado en Seguridad, identidad y conformidad.
Haga clic en Políticas en la barra de navegación del lado izquierdo.
Haga clic en Crear una política.
Haga clic en JSON.

Agregue la siguiente política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutObject",
            "Effect": "Allow",
                "Action": [
                    "s3:PutObject",
                    "s3:GetBucketLocation"
                ],
                "Resource": [
                    "arn:aws:s3:::<bucket-name>",
                    "arn:aws:s3:::<bucket-name>/*"
                ]
        }
    ]
}

Nota

Debe sustituir \ por el nombre del bucket en el que se añadirán las instantáneas.

Haga clic en Revisar política para comprobar que la política copiada sea válida.
Asigne un nombre a la política.

Ejemplo: Sophos-Central-Forensic-Snapshot-Upload.
Escriba una descripción.

Ejemplo: This policy allows Sophos Central to upload forensic snapshots to a given S3 bucket.
Haga clic en Crear una política.

Añadir una cuenta de AWS a Sophos Central

Para añadir su cuenta, haga lo siguiente:

En Sophos Central, vaya a Configuración global y haga clic en Instantáneas forenses.
Active Cargar instantánea forense en un bucket de S3 de AWS.
Tome nota de ID de cuenta AWS y de ID externo de AWS.
En Amazon Web Services, cree el rol de IAM (Identity & Access Management) haciendo lo siguiente:
1. En el panel de control de Amazon Web Services, vaya a Identity & Access Management (Gestión de acceso e identidades) en el menú Security & Identity (Seguridad e identidad).
2. Haga clic en Roles en la barra de navegación del lado izquierdo.
3. Haga clic en Crear rol.
4. Haga clic en Otra cuenta de AWS .
5. Introduzca el ID de cuenta y el ID externo proporcionado por Sophos Central.
6. Active Requerir ID externo. Esta es la mejor práctica recomendada cuando un tercero asume esta función.
7. Desactive Requerir MFA.
8. Haga clic en Siguiente: Permisos.
9. Adjunte la política que creó anteriormente y haga clic en Siguiente: Etiquetas.
10. Deje las etiquetas opcionales en blanco y haga clic Siguiente: Revisión.
11. Escriba un nombre de Rol y, opcionalmente, una descripción del rol.
12. Haga clic en Crear rol y copie el ARN del rol (Amazon Resource Name, Nombre de recurso de Amazon).
Debe esperar a que esta función se propague a todas las regiones de AWS antes de poder añadir la cuenta a Sophos Central. El proceso puede tardar hasta 5 minutos.
En Sophos Central, en la página de Instantáneas forenses, haga lo siguiente:
1. Introduzca el nombre del bucket de S3. Debe coincidir con el nombre del bucket en la política gestionada.
2. Opcionalmente, introduzca el nombre del directorio del bucket de S3 en el que desee cargar las instantáneas.
3. Introduzca el ARN del rol creado en AWS.
4. Haga clic en Guardar.

Cree una política con respecto al bucket

Le recomendamos que cree una política con respecto al bucket para restringir el acceso al bucket de S3 al que desea cargar instantáneas forenses.

Para restringir el acceso:

Agregue la siguiente política con respecto al bucket:

{
    "Version":"2012-10-17",
    "Id":"S3PolicyIPRestrict",
    "Statement":[
        {
            "Sid":"IPAllow",
            "Effect":"Allow",
            "Principal":{
                "AWS":"*"
            },
            "Action":"s3:PutObject",
            "Resource":"arn:aws:s3:::<bucket-name>/*",
            "Condition":{
                "IpAddress":{
                    "aws:SourceIp":"192.168.143.0/24"
                }
            }
        },
        {
            "Sid":"AllowRead",
            "Action":[
                "s3:GetObject"
            ],
            "Effect":"Allow",
            "Resource":"arn:aws:s3:::<bucket-name>/*",
            "Principal":{
                "AWS":[
                    "arn:aws:iam::123456789012:root"
                ]
            }
        }
    ]
}

Esta política:

Solo permite que las direcciones IP especificadas carguen instantáneas en el bucket. Estas deben ser las direcciones IP de salida de las estaciones de trabajo o de los firewalls.
Solo permite a personas autorizadas acceder a las instantáneas del bucket.

¿Hay alguna cuestión que deba tener en cuenta?

No se admite la carga a buckets con cifrado KMS, pero se admite el cifrado con AES-256. No tiene que activar el cifrado AES-256 en un bucket de S3, aunque es lo recomendable. Sophos carga instantáneas con un encabezado de cifrado AES-256.
No se admiten caracteres especiales en los nombres de los bucket. Para ver una lista con los caracteres permitidos, visite Clave y metadatos de objetos.
Debido a una limitación en AWS, las instantáneas que tardan más de 1 hora en cargarse se detendrán, lo que impedirá que se realice la carga completa. Es más probable que esto ocurra si ha elegido un período de tiempo más largo para la instantánea.
Si tiene un firewall en su entorno, compruebe que las reglas permitan la carga de instantáneas al bucket de S3 de AWS.