Caricamento di snapshot di analisi approfondita su un bucket S3 AWS
È possibile caricare snapshot di analisi approfondita solo da dispositivi Windows. Inoltre, occorre avere una licenza XDR o MDR.
Per impostazione predefinita, gli snapshot vengono salvati sul computer locale. In alternativa, gli snapshot possono anche essere caricati su un bucket S3 Amazon Web Services (AWS). Questa opzione consente di accedere agli snapshot con maggiore semplicità, in quanto sono situati in un’unica posizione, piuttosto che su singoli dispositivi a cui dover effettuare l’accesso individualmente.
Per caricare snapshot occorre avere un bucket S3 AWS disponibile. Inoltre, occorre procedere come segue:
- Creare un criterio gestito in AWS.
- Aggiungere il proprio account AWS a Sophos Central.
- (Facoltativo) Creare un criterio per i bucket AWS che limiti l’accesso al bucket S3.
- (Facoltativo) Creare un criterio per il ciclo di vita dei bucket AWS per cancellare i dati che non servono più.
-
Forensic Log Collection (Raccolta di log di analisi approfondita)
Se si impostano caricamenti su un bucket S3 AWS da qui, la nuova funzionalità Forensic Log Collection (Raccolta di log di analisi approfondita) utilizzerà le stesse impostazioni per caricare log.
Al momento, Forensic Log Collection è disponibile solo tramite la nostra API Sophos Central. Vedere https://developer.sophos.com/docs/endpoint-v1/1/overview.
Creazione di un criterio gestito
Per aggiungere un criterio gestito in AWS, procedere come segue:
- Nella dashboard di Amazon Web Services (AWS), sotto Security, Identity and Compliance (Sicurezza, identità e conformità), selezionare IAM.
- Nel menu a sinistra, cliccare su Policies (Criteri).
- Cliccare su Create policy.
- Selezionare la scheda JSON.
-
Aggiungere il seguente documento per i criteri:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<bucketName>", "arn:aws:s3:::<bucketName>/*" ] } ] }
Nota
Sostituire <bucketName> con il nome del bucket su cui verranno caricati gli snapshot.
-
Cliccare su Review Policy per verificare che il criterio copiato sia valido.
-
Assegnare un nome al criterio.
Esempio: "Sophos-Central-Forensic-Snapshot-Upload".
-
Fornire una descrizione.
Esempio: "Questo criterio consente a Sophos Central di caricare snapshot di analisi approfondita su un determinato bucket S3."
-
Cliccare su Create policy.
Aggiunta dell’account AWS a Sophos Central
Per aggiungere un account, procedere come segue.
- In Sophos Central, selezionare Prodotti > Impostazioni generali > Snapshot di analisi approfondita.
- Attivare Carica snapshot di analisi approfondita su un bucket S3 AWS.
- Prendere nota dei codici ID account AWS e ID esterno AWS.
-
In Amazon Web Services, creare il Ruolo IAM procedendo come segue:
- Nella Console di gestione AWS, sotto Security & Identity (Sicurezza e identità), selezionare Identity & Access Management (Gestione delle identità e degli accessi).
- Nel menu a sinistra, cliccare su Ruoli.
- Cliccare su Crea ruolo.
- In Trusted entity type (Tipo di entità attendibile), selezionare Custom trust policy (Criterio di attendibilità personalizzato).
-
Aggiungere il seguente documento per i criteri:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountId>:root" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<externalId>" } } } ] }
Nota
Sostituire <accountId> ed <ExternalId> con l’ID account e l’ID esterno annotati in precedenza.
-
Cliccare su Next (Avanti) per passare alla pagina Permissions (Autorizzazioni).
- Allegare il criterio creato in precedenza, ad esempio “Sophos-Central-Forensic-Data-Upload”.
-
(Facoltativo) Si consiglia vivamente di espandere Set permissions boundary (Imposta limite per le autorizzazioni) e cliccare su Use a permissions boundary to control the maximum role permissions (Usa un limite per le autorizzazioni per controllare le autorizzazioni massime concesse ai ruoli).
- Allegare il criterio creato in precedenza, ad esempio “Sophos-Central-Forensic-Data-Upload”.
-
Inserire un Role name (Nome del ruolo).
- Facoltativo. Inserire una Role description (Descrizione del ruolo).
- Cliccare su Create role (Crea ruolo).
- Visualizzare questo ruolo e copiarne il Role ARN (Amazon Resource Name o ARN del ruolo).
Prima di aggiungere l’account a Sophos Central, attendere che questo ruolo si propaghi in tutte le regioni su AWS. L'operazione potrebbe richiedere fino a un massimo di 5 minuti.
-
In Sophos Central, nella pagina Snapshot di analisi approfondita, procedere come segue:
- Inserire il nome del bucket S3, che deve corrispondere al nome del bucket nel criterio gestito.
- (Facoltativo) Inserire il nome della directory nel bucket S3 su cui si desidera caricare gli snapshot.
- Inserire l’ARN del ruolo creato precedentemente in AWS.
- Cliccare su Salva.
Creazione di un criterio per i bucket
Consigliamo vivamente di creare un criterio per i bucket che limiti l’accesso al bucket S3. Di seguito viene riportato un esempio di criterio.
Aggiungere il seguente criterio per i bucket:
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Principal":"*",
"Action":"S3.*",
"Resource":[
"arn:aws:s3:::<bucketName>*",
"arn:aws:s3:::<bucketName>/*"
],
"Condition":{
"StringNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::<customerAccountId>:root",
"arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
]
}
}
}
]
}
Sostituire i segnaposto come segue:
- <bucketName>: il nome del bucket su cui verranno caricati i dati di analisi approfondita.
- <customerAccountId>: il proprio ID account AWS. È possibile trovarlo nella console di AWS, cliccando sul nome utente in alto a destra.
- <iamRoleName>: il nome del Ruolo IAM creato nella sezione precedente.
Questo criterio permette solo ai seguenti utenti di caricare dati sul bucket o di accedervi:
- Il proprietario dell’account.
- Qualsiasi account con autorizzazioni impostate dal ruolo IAM creato in precedenza (che può essere solo Sophos).
Creazione di un criterio per il ciclo di vita dei bucket
Consigliamo vivamente di impostare un criterio per il ciclo di vita dei bucket S3. Questo criterio evita di incorrere in costi extra indesiderati.
Quando i file dei dati di analisi approfondita sono molto grandi, Sophos Endpoint carica automaticamente i dati in parti. Se si verifica un problema al di fuori del nostro controllo, i caricamenti in più parti potrebbero essere interrotti, e questo causerebbe la presenza di dati incompleti nel bucket. AWS potrebbe addebitare un costo extra per l’archiviazione di questi dati incompleti. Per evitare questo problema, creare un criterio per il ciclo di vita del bucket che rimuove i caricamenti incompleti.
Per creare un criterio per il ciclo di vita, procedere come segue:
- Accedere alla console di gestione di AWS.
- Aprire la console di Amazon S3 all’indirizzo https://console.aws.amazon.com/s3/.
- Nell’elenco Buckets, selezionare il bucket su cui verranno caricati i dati di analisi approfondita.
- Selezionare la scheda Management (Gestione) e successivamente Create lifecycle rule (Crea regola per il ciclo di vita).
- In Lifecycle rule name (Nome della regola per il ciclo di vita), specificare un nome per la regola, ad esempio “Delete incomplete multipart uploads” (Elimina caricamenti in più parti incompleti).
- Selezionare This rule applies to all objects in the bucket (Questa regola si applica a tutti gli elementi nel bucket).
- In Lifecycle rule actions (Azioni della regola per il ciclo di vita), selezionare Delete expired object delete markers or incomplete multipart uploads (Elimina indicatori di eliminazione di oggetti scaduti o caricamenti in più parti incompleti).
- Sotto Delete expired object delete markers or incomplete multipart uploads, selezionare Delete incomplete multipart uploads (Elimina caricamenti in più parti incompleti).
- In Number of days (Numero di giorni), inserire 7 giorni.
- Cliccare su Crea regola.
Problemi noti
- Il caricamento sui bucket con crittografia KMS non è supportato, tuttavia è supportata la crittografia AES-256. Attivare la crittografia AES-256 su un bucket S3 non è obbligatorio, tuttavia è un’azione che consigliamo. Carichiamo snapshot con un’intestazione della crittografia AES-256.
- I caratteri speciali per i nomi dei bucket non sono supportati. Per un elenco di caratteri autorizzati, vedere Utilizzo dei metadati degli oggetti.
- Se nell’ambiente è presente un firewall, assicurarsi che le regole consentano il caricamento di snapshot sul bucket S3 AWS. Questo consiglio si applica sia a Sophos Firewall che ad altri firewall.