Cargar instantáneas forenses en un bucket de S3 de AWS
Puede cargar instantáneas forenses solo desde dispositivos Windows. También debe tener una licencia XDR o MDR.
De forma predeterminada, las instantáneas se guardan en el ordenador local. Puede cargar las instantáneas en un bucket de S3 de Amazon Web Services (AWS) en su lugar. Esto le permite acceder a las instantáneas fácilmente en una única ubicación en lugar de acceder a cada dispositivo.
Para cargar instantáneas, debe contar con un bucket de S3 de AWS disponible. También deberá hacer lo siguiente:
- Cree una directiva administrada en AWS.
- Agregue su cuenta AWS a Sophos Central.
- (Opcional) Cree una política de bucket de AWS para restringir el acceso al bucket de S3.
- (Opcional) Cree una política de ciclo de vida de bucket de AWS para borrar los datos que ya no necesite.
-
Recopilación de registros forenses
Si configura las cargas en un bucket de S3 de AWS aquí, nuestra nueva función de recopilación de registros forenses utiliza la misma configuración para cargar registros.
Actualmente la recopilación de registros forenses solo está disponible a través de nuestra API de Sophos Central. Consulte https://developer.sophos.com/docs/endpoint-v1/1/overview.
Crear una política gestionada
Para crear una política gestionada en AWS, haga lo siguiente:
- En el panel de control de Amazon Web Services (AWS), en Seguridad, identidad y conformidad, vaya a IAM.
- En el menú de la izquierda, haga clic en Políticas.
- Haga clic en Crear una política.
- Seleccione la ficha JSON.
-
Añada el documento de la política que se muestra a continuación:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<bucketName>", "arn:aws:s3:::<bucketName>/*" ] } ] }
Nota
Debe sustituir <bucketName> por el nombre del bucket en el que se añadirán las instantáneas.
-
Haga clic en Revisar política para comprobar que la política copiada sea válida.
-
Asigne un nombre a la política.
Ejemplo: "Sophos-Central-Forensic-Snapshot-Upload".
-
Escriba una descripción.
Ejemplo: "Esta política permite a Sophos Central cargar instantáneas forenses en el bucket de S3 que se determine".
-
Haga clic en Crear una política.
Añadir la cuenta de AWS a Sophos Central
Para añadir su cuenta, haga lo siguiente:
- En Sophos Central, vaya a Mis productos > Configuración general > Instantáneas forenses.
- Active Cargar instantánea forense en un bucket de S3 de AWS.
- Tome nota de ID de cuenta AWS y de ID externo de AWS.
-
En Amazon Web Services, cree el rol de IAM (Identity & Access Management) haciendo lo siguiente:
- En la Consola de administración AWS, en Seguridad e identidad, vaya a Gestión de acceso e identidades.
- En el menú de la izquierda, haga clic en Roles.
- Haga clic en Crear rol.
- En Tipo de entidad de confianza, seleccione Política de confianza personalizada.
-
Añada el documento de la política que se muestra a continuación:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountId>:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<externalId>" } } } ] }
Nota
Reemplace <accountId> y <externalId> por el ID de cuenta y el ID externo que ha anotado anteriormente.
-
Haga clic en Siguiente para ir a la página Permisos.
- Adjunte la política que ha creado anteriormente, por ejemplo, "Sophos-Central-Forensic-Data-Upload".
-
(Opcional) Le recomendamos encarecidamente que amplíe Configurar límite de permisos y haga clic en Usar un límite de permisos para controlar los permisos máximos del rol.
- Adjunte la política que ha creado anteriormente, por ejemplo, "Sophos-Central-Forensic-Data-Upload".
-
Introduzca el Nombre del rol.
- Opcional. Especifique la Descripción del rol.
- Haga clic en Crear rol.
- Ahora visualice este rol y copie el ARN del rol (nombre de recurso de Amazon).
Espere a que este rol se propague a todas las regiones de AWS antes de añadir la cuenta a Sophos Central. El proceso puede tardar hasta 5 minutos.
-
En Sophos Central, en la página de Instantáneas forenses, haga lo siguiente:
- Introduzca el nombre del bucket de S3. Debe coincidir con el nombre del bucket en la política gestionada.
- (Opcional) Introduzca el nombre del directorio del bucket de S3 donde quiere que se carguen las instantáneas.
- Introduzca el ARN del rol creado en AWS anteriormente.
- Haga clic en Guardar.
Cree una política con respecto al bucket
Le recomendamos encarecidamente que cree una política de bucket para restringir el acceso al bucket de S3. A continuación se incluye un política de ejemplo.
Agregue la siguiente política con respecto al bucket:
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Principal":"*",
"Action":"S3.*",
"Resource":[
"arn:aws:s3:::<bucketName>*",
"arn:aws:s3:::<bucketName>/*"
],
"Condition":{
"StringNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::<customerAccountId>:root",
"arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
]
}
}
}
]
}
Sustituya los marcadores como sigue:
- <bucketName>: El nombre del bucket en el que se cargarán los datos forenses.
- <customerAccountId>: Su ID de cuenta de AWS. Puede encontrarlo en la consola de AWS haciendo clic en su nombre de usuario en la parte superior derecha.
- <iamRoleName>: El nombre del rol de IAM creado en la sección anterior.
Esta política permite solo a los siguientes usuarios cargar datos en el bucket o acceder a los datos que contiene:
- El propietario de la cuenta.
- Cualquier cuenta con permisos establecidos por el rol de IAM creado anteriormente (que solo puede ser Sophos).
Crear una política de ciclo de vida de bucket
Le recomendamos encarecidamente que establezca una política de ciclo de vida para el bucket de S3. Esta política evita incurrir en costes adicionales no deseados.
Cuando los archivos de datos forenses son grandes, Sophos Endpoint carga los datos en partes automáticamente. Si se produce una interrupción del servicio fuera de nuestro control, las cargas multiparte también podrían interrumpirse, con lo que el bucket podría contener datos incompletos. AWS podría cobrarle por almacenar estos datos incompletos. Para evitarlo, cree una política de ciclo de vida en el bucket para que limpie las cargas incompletas.
Para crear una política de ciclo de vida, haga lo siguiente:
- Inicie sesión en la consola de administración AWS.
- Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.
- En la lista Buckets, seleccione el bucket en el que se cargarán los datos forenses.
- Seleccione la pestaña Administración y seleccione Crear regla de ciclo de vida.
- En Nombre de regla del ciclo de vida, introduzca un nombre para su regla, por ejemplo, "Eliminar cargas multiparte incompletas".
- Seleccione Esta regla se aplica a todos los objetos del bucket.
- En Acciones de la regla de ciclo de vida, seleccione Eliminar marcadores de eliminación de objetos vencidos o cargas multiparte incompletas.
- En Eliminar marcadores de eliminación de objetos vencidos o cargas multiparte incompletas, seleccione Eliminar cargas multiparte incompletas.
- En Número de días, introduzca 7 días.
- Haga clic en Crear regla.
Problemas conocidos
- No se admite la carga a buckets con cifrado KMS, pero se admite el cifrado con AES-256. No tiene que activar el cifrado AES-256 en un bucket de S3, pero es lo recomendable. Cargamos instantáneas con un encabezado de cifrado AES-256.
- No se admiten caracteres especiales en los nombres de los buckets. Para ver una lista con los caracteres permitidos, visite Trabajar con metadatos de objeto.
- Si tiene un firewall en su entorno, asegúrese de que las reglas permitan la carga de instantáneas en el bucket de S3 de AWS. Esta instrucción es aplicable Sophos Firewall y a otros firewalls.