Carregar instantâneos forenses para um bucket S3 da AWS

Você pode carregar instantâneos forenses apenas de dispositivos Windows. Você também deve ter uma licença XDR ou MDR.

Por padrão, os instantâneos são salvos no computador local, mas, se preferir, você pode carregar os instantâneos para um bucket S3 do AWS (Amazon Web Services). Assim você pode acessar os seus instantâneos com mais facilidade em uma localização única, em vez de ir a cada dispositivo.

Para carregar instantâneos, você deve ter um bucket S3 da AWS disponível. Você também precisa seguir este procedimento:

Criar uma política gerenciada no AWS.
Adicionar a sua conta AWS ao Sophos Central.
(Opcional) Criar uma política de bucket da AWS para restringir o acesso ao bucket S3.
(Opcional) Criar uma política de ciclo de vida do bucket da AWS para eliminar os dados de que você não precisa mais.

Coleção de logs forenses

Se você definir uploads a um bucket S3 da AWS aqui, nosso novo recurso de Coleção de logs forenses usa as mesmas configurações para carregar logs.

No momento, a Coleção de logs forenses só está disponível em nossa API do Sophos Central. Consulte https://developer.sophos.com/docs/endpoint-v1/1/overview.

Criar uma política gerenciada

Para adicionar uma política gerenciada ao AWS, siga este procedimento:

No painel da Amazon Web Services (AWS), vá para IAM, listado em Security, Identity and Compliance.
No menu esquerdo, clique em Policies.
Clique em Create Policy.
Selecione a guia JSON.

Adicione o documento de política mostrado abaixo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<bucketName>",
                "arn:aws:s3:::<bucketName>/*"
            ]
        }
    ]
}

Nota

Substitua <bucketName> pelo nome do bucket onde os seus instantâneos serão carregados.

Clique em Review Policy (Revisar política) para verificar se a política copiada é válida.
Dê um nome à política.

Exemplo: "Sophos-Central-Forensic-Snapshot-Upload".
Dê uma descrição.

Exemplo: "Esta política permite ao Sophos Central carregar instantâneos forenses para um determinado bucket S3."
Clique em Criar política.

Adicionar a conta da AWS ao Sophos Central

Para adicionar a sua conta, siga este procedimento.

Em Sophos Central, vá para Meus produtos > Configurações gerais e clique em Instantâneos forenses.
Ative Carregar o instantâneo forense para um bucket S3 do AWS.
Anote o ID da conta AWS e o ID Externo AWS.
No Amazon Web Services, crie a Função IAM fazendo o seguinte:
1. No Console de gerenciamento da AWS, em Security & Identity, vá para Identity & Access Management.
2. No menu esquerdo, clique em Roles.
3. Clique em Create role (Criar função).
4. Em Trusted entity type, selecione Custom trust policy.
5. Adicione o documento de política mostrado abaixo:
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<accountId>:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "<externalId>"
                }
            }
        }
    ]
}
```
  Nota
  
  Substitua <accountId> e <externalId> por Account ID e External ID que você anotou.
6. Clique em Avançar para ir para o painel de Permissões.
7. Anexe a política criada anteriormente, por exemplo "Sophos-Central-Forensic-Data-Upload".
8. (Opcional) Recomendamos expandir Set permissions boundary e clicar em Use a permissions boundary to control the maximum role permissions.
  1. Anexe a política criada anteriormente, por exemplo "Sophos-Central-Forensic-Data-Upload".
9. Informe um Nome de função.
10. Opcional. Insira uma Descrição de função.
11. Clique em Create role (Criar função).
12. Agora exiba a função e copie a Função ARN (Amazon Resource Name).
Espere que essa função se propague para todas as regiões da AWS antes de adicionar a conta ao Sophos Central. Pode levar até cinco minutos.
No Sophos Central, na página Instantâneos forenses, faça o seguinte:
1. Insira o nome do bucket S3. Ele deve corresponder ao nome do bucket na política gerenciada.
2. (Opcional) Insira o nome do diretório no bucket S3 em que você deseja que os instantâneos sejam carregados.
3. Insira a Função ARN criada na AWS anteriormente.
4. Clique em Salvar.

Criar uma política de bucket

Recomendamos criar uma política de bucket para restringir o acesso ao bucket S3. Um exemplo de política mostrado abaixo.

Adicione a seguinte política de bucket:

{
    "Version":"2012-10-17",
    extratos
        {
            "Effect":"Deny",
            "Principal":"*",
            "Action":"S3.*",
            "Resource":[
                "arn:aws:s3:::<bucketName>*",
                "arn:aws:s3:::<bucketName>/*"
            ],
            Condição
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::<customerAccountId>:root",
                        "arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
                    ]
                }
            }
        }
    ]
}

Substitua os placeholders como se segue:

<bucketName>: O nome do bucket onde os dados forenses serão carregados.
<customerAccountId>: ID da sua conta AWS. Você pode encontrá-la no Console da AWS clicando no nome de usuário no canto direito.
<iamRoleName>: O nome da função IAM criado na seção anterior.

Esta política permite que apenas os seguintes usuários carreguem no bucket ou acessem dados nele:

O proprietário da conta.
Qualquer conta com permissões definidas pela função IAM criada anteriormente (que só pode ser Sophos).

Criar uma política de ciclo de vida do bucket

Recomendamos definir uma política de ciclo de vida para o seu bucket S3. Essa política evita a incorrência de custos adicionais indesejados.

Quando os arquivos de dados forenses são grandes, o Sophos Endpoint carrega automaticamente os dados em partes. Se houver uma interrupção fora do seu controle, os carregamentos de várias partes poderão ser interrompidos, o que pode fazer com que o bucket tenha dados incompletos. A AWS pode cobrar pelo armazenamento desses dados incompletos. Para evitar isso, crie uma política de ciclo de vida no bucket que elimine carregamentos incompletos.

Para criar uma política de ciclo de vida, faça o seguinte:

Entre no Console de gerenciamento da AWS.
Abra o console da Amazon S3 em https://console.aws.amazon.com/s3/.
Na lista de Buckets selecione o bucket onde os dados forenses serão carregados.
Selecione a guia Management e selecione Create lifecycle rule.
Em Lifecycle rule name, digite um nome para a regra, por exemplo "Delete incomplete multipart uploads".
Selecione This rule applies to all objects in the bucket.
Em Lifecycle rule actions, selecione Delete expired object delete markers or incomplete multipart uploads.
Em Delete expired object delete markers or incomplete multipart uploads, selecione Delete incomplete multipart uploads.
Em Number of days, digite 7 dias.
Clique em Create rule.

Problemas conhecidos

O carregamento para buckets com criptografia KMS não é suportado, mas a criptografia AES-256 é suportada. Você não precisa ativar a criptografia AES-256 em um bucket S3, mas recomendamos. Carregamos instantâneos com um cabeçalho de criptografia AES-256.
Caracteres especiais nos nomes de buckets não são suportados. Para obter uma lista de caracteres permitidos, consulte Working with object metadata.
Se você tiver um firewall em seu ambiente, certifique-se de que as suas regras permitem o carregamento de instantâneos para o bucket S3 da AWS. Essa recomendação se aplica ao Sophos Firewall e também a outros firewalls.