Télécharger un instantané d’analyse dans un compartiment S3 AWS
Suivez ces instructions pour télécharger un instantané d’analyse.
Restriction
Cette option est actuellement disponible pour les ordinateurs Windows uniquement et nécessite Core Agent 2.5.0 ou une version ultérieure.
Par défaut, les instantanés sont enregistrés sur l’ordinateur local. Vous pouvez également choisir de télécharger les instantanés dans un compartiment Amazon Web Services (AWS) S3. Ceci vous permettra d’accéder plus facilement à vos instantanés depuis un emplacement central, plutôt que d’avoir à vous rendre sur chaque ordinateur.
Pour télécharger des instantanés d’analyse, vous devez avoir un compartiment AWS S3 disponible. Veuillez également procéder comme suit :
- Créez une stratégie managée dans AWS.
- Ajoutez votre compte AWS à Sophos Central.
- Créez une stratégie de compartiment AWS pour limiter l’accès au compartiment S3.
Retrouvez plus de renseignements sur les graphiques de menace sur Analyse du graphique de menace.
Créer une stratégie managée
Pour créer une stratégie gérée dans AWS, procédez de la manière suivante :
- Dans le tableau de bord Amazon Web Services (AWS), allez sur IAM sous Sécurité, identité et conformité.
- Cliquez sur Stratégies dans la barre de navigation de gauche.
- Cliquez sur Créer une stratégie.
- Cliquez sur JSON.
-
Ajoutez la stratégie suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::<bucket-name>", "arn:aws:s3:::<bucket-name>/*" ] } ] }Remarque
Remplacez \
par le nom du compartiment dans lequel vos instantanés seront téléchargés. -
Cliquez sur Réviser la stratégie pour vérifier que la stratégie copiée est valide.
-
Nommez la stratégie.
Exemple :
Sophos-Central-Forensic-Snapshot-Upload. -
Donnez une description.
Exemple :
This policy allows Sophos Central to upload forensic snapshots to a given S3 bucket. -
Cliquez sur Créer une stratégie.
Ajouter un compte AWS à Sophos Central.
Pour ajouter votre compte, procédez de la manière suivante :
- Dans Sophos Central, allez dans Paramètres généraux et cliquez sur Instantanés d’analyse.
- Activez Télécharger l’instantané d’analyse dans un compartiment S3 AWS.
- Prenez note de Identifiant du compte AWS et Identifiant externe AWS .
-
Dans Amazon Web Services, créez le Rôle IAM en procédant comme suit :
-
Dans le tableau de bord Amazon Web Services, allez dans Gestion des identités et des accès sous Sécurité et identité.
-
Cliquez sur Rôles dans la barre de navigation de gauche.
- Cliquez sur Créer un rôle.
- Cliquez sur Autre compte AWS.
-
Saisissez l’ID de compte et l’ID externe fournis par Sophos Central.
-
Activez l’ID externe requis. Cette pratique est recommandée lorsqu’un tiers assume ce rôle.
-
Désactivez Exiger l’authentification multifacteur.
- Cliquez sur Suivant : Autorisations.
- Joignez la stratégie que vous avez créée précédemment, puis cliquez sur Suivant : Identifiants.
- Laissez les balises facultatives vides et cliquez sur Suivant : Analyser.
- Saisissez un Nom de rôle, et éventuellement une Description de rôle.
- Cliquez sur Créer un rôle et copiez l’ARN du rôle (Amazon Resource Name).
-
-
Vous devez attendre que ce rôle se propage à toutes les zones d’AWS avant de pouvoir ajouter le compte à Sophos Central. L’opération peut durer jusqu’à 5 minutes.
-
Dans Sophos Central, sur la page Instantanés d’analyse, procédez comme suit :
- Saisissez le nom du compartiment S3. Celui-ci doit correspondre au nom du compartiment dans la stratégie gérée.
- Vous pouvez également saisir un nom de répertoire de compartiment dans lequel vous souhaitez que les instantanés soient téléchargés dans le compartiment S3.
- Saisissez l’ARN du rôle créé dans AWS.
- Cliquez sur Enregistrer.
Créer une stratégie de compartiment
Nous vous recommandons de créer une stratégie de compartiment afin de limiter l’accès au compartiment S3 vers lequel vous souhaitez télécharger des instantanés d’analyse approfondie.
Pour restreindre l’accès :
-
Ajoutez la stratégie de compartiment suivante :
{ "Version":"2012-10-17", "Id":"S3PolicyIPRestrict", "Statement":[ { "Sid":"IPAllow", "Effect":"Allow", "Principal":{ "AWS":"*" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::<bucket-name>/*", "Condition":{ "IpAddress":{ "aws:SourceIp":"192.168.143.0/24" } } }, { "Sid":"AllowRead", "Action":[ "s3:GetObject" ], "Effect":"Allow", "Resource":"arn:aws:s3:::<bucket-name>/*", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:root" ] } } ] }Cette stratégie :
- Permet uniquement aux adresses IP spécifiées de télécharger des instantanés dans le compartiment. Il doit s’agir des adresses IP externes des terminaux ou des pare-feu.
- Permet uniquement aux personnes autorisées d’accéder aux instantanés dans le compartiment.
Existe-t-il des problèmes que je devrais connaître ?
-
Le téléchargement vers des compartiments avec chiffrement KMS n’est pas pris en charge, mais le chiffrement AES-256 l’est. Il n’est pas nécessaire d’activer le chiffrement AES-256 sur un compartiment S3, bien que nous le recommandons. Sophos télécharge des instantanés avec un en-tête de chiffrement AES-256.
-
Les caractères spéciaux pour les noms de compartiments ne sont pas pris en charge. Retrouvez une liste de caractères autorisés à la section Clé de l’objet et métadonnées.
-
En raison d’une limitation dans AWS, les instantanés prenant plus d’une heure pour se télécharger seront interrompus, empêchant ainsi le téléchargement d’avoir lieu. Ceci est plus probable si vous avez choisi une période plus longue pour le contenu de l’instantané.
-
Si vous disposez d’un pare-feu dans votre environnement, vérifiez que vos règles autorisent le téléchargement d'instantanés dans le compartiment S3 d’AWS.