Aller au contenu

Télécharger les instantanés d’analyse dans un compartiment S3 AWS

Vous pouvez télécharger des instantanés d’analyse uniquement à partir d’ordinateurs Windows. Vous devez également disposer d'une licence XDR ou MDR.

Par défaut, les instantanés sont enregistrés sur l’ordinateur local. Vous pouvez également choisir de télécharger les instantanés dans un compartiment Amazon Web Services (AWS) S3. Ceci vous permettra d’accéder plus facilement à vos instantanés depuis un emplacement unique, plutôt que d’avoir à vous rendre sur chaque appareil.

Pour télécharger des instantanés d’analyse, vous devez avoir un compartiment AWS S3 disponible. Veuillez également procéder comme suit :

  • Créez une stratégie managée dans AWS.
  • Ajoutez votre compte AWS à Sophos Central.
  • (Facultatif) Créez une stratégie de compartiment AWS pour limiter l’accès au compartiment S3.
  • (Facultatif) Créez une stratégie de cycle de vie pour le compartiment AWS pour effacer les données dont vous n'avez plus besoin.
  • Collecte des journaux d’analyse


    Si vous configurez les téléchargements vers un compartiment AWS S3 ici, notre nouvelle fonctionnalité Collecte des journaux d’analyse utilisera les mêmes paramètres pour télécharger les journaux.

    La collecte des journaux d’analyse est actuellement disponible uniquement via notre API Sophos Central. Voir https://developer.sophos.com/docs/endpoint-v1/1/overview.

Créer une stratégie managée

Pour créer une stratégie gérée dans AWS, procédez comme suit :

  1. Dans le tableau de bord Amazon Web services (AWS), sous Sécurité, identité et conformité, allez dans IAM.
  2. Dans le menu de gauche, cliquez sur Stratégies.
  3. Cliquez sur Créer une stratégie.
  4. Sélectionnez l’onglet JSON.
  5. Ajoutez le document de stratégie ci-dessous :

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:ListBucket",
                    "s3:PutObject"
                ],
                "Resource": [
                    "arn:aws:s3:::<nom du compartiment>",
                    "arn:aws:s3:::<nom du compartiment>/*"
                ]
            }
        ]
    }
    

    Remarque

    Remplacez <nom du compartiment> par le nom du compartiment dans lequel vos instantanés seront téléchargés.

  6. Cliquez sur Réviser la stratégie pour vérifier que la stratégie copiée est valide.

  7. Nommez la stratégie.

    Exemple : « téléchargement-des-instantanés-d’analyse-dans-Sophos-Central ».

  8. Donnez une description.

    Exemple : « Cette stratégie permet à Sophos Central de télécharger des instantanés d’analyse dans un compartiment S3 donné. »

  9. Cliquez sur Créer une stratégie.

Ajouter le compte AWS à Sophos Central

Pour ajouter votre compte, procédez comme suit :

  1. Dans Sophos Central, allez dans Mes produits > Paramètres généraux > Instantanés d’analyse.
  2. Activez Télécharger l’instantané d’analyse dans un compartiment S3 AWS.
  3. Prenez note de Identifiant du compte AWS  et Identifiant externe AWS .
  4. Dans Amazon Web Services, créez le Rôle IAM de la manière suivante :

    1. Dans AWS Management Console, sous Sécurité et identité, allez dans Gestion des identités et des accès.
    2. Dans le menu de gauche, cliquez sur Rôles.
    3. Cliquez sur Créer un rôle.
    4. Sous Type d'entité approuvée, sélectionnez Stratégie d'approbation personnalisée.
    5. Ajoutez le document de stratégie ci-dessous :

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::<accountId>:root"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                          "sts:ExternalId": "<externalId>"
                      }
                  }
              }
          ]
      }
      

      Remarque

      Remplacez <accountId> et <externalId> par l'ID de compte et l'ID externe que vous avez notés précédemment.

    6. Cliquez sur Suivant pour accéder à la page Autorisations.

    7. Joignez la stratégie que vous avez créée précédemment, par exemple « téléchargement-des-instantanés-d’analyse-dans-Sophos-Central ».
    8. (Facultatif) Nous vous recommandons vivement de développer Définir les limites des autorisations et de cliquer sur Définir une limite d’autorisations pour contrôler les autorisations maximales des rôles.

      1. Joignez la stratégie créée précédemment, par exemple « « téléchargement-des-instantanés-d’analyse-dans-Sophos-Central ».
    9. Saisissez le Nom du role.

    10. Facultatif. Saisissez une Description du role.
    11. Cliquez sur Créer un rôle.
    12. Copiez ensuite l’ARN du rôle (Amazon Resource Name) que vous trouverez en cliquant sur le role.

    Attendez que ce rôle se propage à toutes les zones d’AWS avant d’ajouter le compte à Sophos Central. L’opération peut durer jusqu’à 5 minutes.

  5. Dans Sophos Central, sur la page Instantanés d’analyse, procédez comme suit :

    1. Saisissez le nom du compartiment S3. Ce nom doit correspondre au nom du compartiment dans la stratégie gérée.
    2. (Facultatif) Saisissez le nom de l’annuaire dans le compartiment S3 vers lequel vous souhaitez télécharger les instantanés.
    3. Saisissez l’ARN du rôle créé précédemment dans AWS.
    4. Cliquez sur Enregistrer.

Créer une stratégie de compartiment

Nous vous recommandons vivement de créer une stratégie de compartiment pour restreindre l'accès au compartiment S3. Un exemple de règle est présenté ci-dessous.

Ajoutez la stratégie de compartiment suivante :

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Deny",
            "Principal":"*",
            "Action":"S3.*",
            "Resource":[
                "arn:aws:s3:::<nom du compartiment>*",
                "arn:aws:s3:::<nom du compartiment>/*"
            ],
            "Condition":{
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                        « arn:aws:iam::<Idducompteclient>:root »,
                        « arn:aws:iam::<Idducompteclient>:role/<NomduroleIAM> »
                    ]
                }
            }
        }
    ]
}

Remplacez les espaces réservés de la manière suivante :

  • <nomducompartiment>: Le nom du compartiment vers lequel les données d'analyse seront téléchargées.
  • <Idducompteclient>: Votre identifiant de compte AWS. Vous pouvez le trouver sur la console AWS en cliquant sur votre nom d'utilisateur en haut à droite.
  • <NomduroleIAM>: Le nom du rôle IAM créé dans la section précédente.

Cette stratégie permet uniquement aux types d’utilisateurs suivants de télécharger vers le compartiment ou d'accéder aux données qu'il contient :

  • Le propriétaire du compte.
  • Tout compte avec des autorisations définies par le rôle IAM créé précédemment (qui ne peut être que Sophos).

Créer une stratégie de cycle de vie du compartiment

Nous vous recommandons vivement de définir une stratégie de cycle de vie pour votre compartiment S3. Cette stratégie évite d'encourir des coûts supplémentaires indésirables.

Lorsque les fichiers de données d'analyse sont volumineux, Sophos Endpoint télécharge automatiquement les données en plusieurs segments. Des pannes imprévues peuvent parfois interrompre le téléchargement de certains segments et entraîner des données incomplètes dans le compartiment. AWS est susceptible de vous facturer le stockage de ces données manquantes. Pour éviter cela, créez une stratégie de cycle de vie pour le compartiment qui nettoie les téléchargements incomplets.

Pour créer une nouvelle stratégie, comme suit :

  1. Connectez-vous à la console de gestion AWS.
  2. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.
  3. Dans la liste Compartiments, sélectionnez le compartiment dans lequel les données d'analyse seront téléchargées.
  4. Sélectionnez l'onglet Gestion et sélectionnez Créer une règle de cycle de vie.
  5. Dans le champ Nom de la règle de cycle de vie, saisissez le nom de la règle, par exemple « Supprimer les téléchargements en plusieurs parties incomplets ».
  6. Sélectionnez Cette règle s'applique à tous les objets du compartiment.
  7. Sous Actions de la règle de cycle de vie, sélectionnez Supprimer les marqueurs de suppression d'objets expirés ou les téléchargements en plusieurs parties incomplets.
  8. Sous Supprimer les marqueurs de suppression d'objets expirés ou les téléchargements en plusieurs parties incomplets, sélectionnez Supprimer les téléchargements en plusieurs parties incomplets.
  9. Dans Nombre de jours, saisissez 7 jours.
  10. Cliquez sur Créer une règle.

Problèmes connus

  • Le téléchargement vers des compartiments avec chiffrement KMS n’est pas pris en charge, mais le chiffrement AES-256 l’est. Il n’est pas nécessaire d’activer le chiffrement AES-256 sur un compartiment S3, bien que nous le recommandons. Nous téléchargeons des instantanés avec un en-tête de chiffrement AES-256.
  • Les caractères spéciaux pour les noms de compartiments ne sont pas pris en charge. Retrouvez une liste de caractères autorisés à la section Utilisation des méta données d'objet.
  • Si vous disposez d’un pare-feu dans votre environnement, vérifiez que vos règles autorisent le téléchargement d'instantanés dans le compartiment S3 d’AWS. Ce conseil s'applique à Sophos Firewall ainsi qu'à d'autres pare-feu.