Carregar o instantâneo forense para um bucket S3 do AWS

Siga estas instruções para carregar um instantâneo forense.

Restrição

Esta opção está disponível atualmente somente para computadores com Windows e requer o Core Agent 2.5.0 e posterior.

Por padrão, os instantâneos são salvos no computador local, mas, se preferir, você pode carregar os instantâneos para um bucket S3 do AWS (Amazon Web Services). Assim você pode acessar os seus instantâneos com mais facilidade em uma localização centralizada, em vez de ir computador por computador.

Para carregar instantâneos, você deve ter um bucket S3 do AWS disponível. Você também precisa seguir este procedimento:

Criar uma política gerenciada no AWS.
Adicionar a sua conta AWS ao Sophos Central.
Criar uma política de bucket do AWS para restringir o acesso ao bucket S3.

Para obter mais informações sobre gráficos de ameaças, consulte Análise do gráfico de ameaça.

Criar uma política gerenciada

Para adicionar uma política gerenciada ao AWS, siga este procedimento:

No painel do Amazon Web Services (AWS), vá para IAM, listado em Security, Identity and Compliance (Segurança, identidade e conformidade).
Clique em Policies na barra de navegação do lado esquerdo.
Clique em Criar política.
Clique em JSON.

Adicione a seguinte política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutObject",
            "Effect": "Allow",
                "Action": [
                    "s3:PutObject",
                    "s3:GetBucketLocation"
                ],
                "Resource": [
                    "arn:aws:s3:::<bucket-name>",
                    "arn:aws:s3:::<bucket-name>/*"
                ]
        }
    ]
}

Nota

É necessário substituir \ pelo nome do bucket onde os seus instantâneos serão carregados.

Clique em Review Policy (Revisar política) para verificar se a política copiada é válida.
Dê um nome à política.

Exemplo: Sophos-Central-Forensic-Snapshot-Upload.
Dê uma descrição.

Exemplo: This policy allows Sophos Central to upload forensic snapshots to a given S3 bucket.
Clique em Criar política.

Adicionar uma conta AWS ao Sophos Central

Para adicionar a sua conta, siga este procedimento.

Em Sophos Central, vá para Configurações globais e clique em Instantâneos forenses.
Ative Carregar o instantâneo forense para um bucket S3 do AWS.
Anote o ID da conta AWS e o ID Externo AWS.
No Amazon Web Services, crie a Função IAM fazendo o seguinte:
1. No painel do Amazon Web Services, vá para Identity & Access Management (Gerenciamento de identidade e acesso), listado em Security & Identity (Segurança e identidade).
2. Clique em Roles (Funções) na barra de navegação do lado esquerdo.
3. Clique em Create role (Criar função).
4. Clique em Another AWS account (Outra conta AWS).
5. Insira o Account ID (ID da conta) e o External ID (ID externo) fornecidos pelo Sophos Central.
6. Ative Require external ID (Requer ID externa). Essa é a prática recomendada quando um terceiro assume essa função.
7. Desative Require MFA (Requer MFA).
8. Clique em Avançar: Permissões.
9. Anexe a política criada anteriormente e clique em Avançar: Tags.
10. Deixe as tags opcionais em branco e clique em Avançar: Revisão.
11. Digite um nome de função em Role name e, opcionalmente, uma descrição de função em Role description.
12. Clique em Create Role (Criar função) e copie a função ARN (Amazon Resource Name).
É necessário esperar que essa função se propague para todas as regiões do AWS antes de poder adicionar a conta ao Sophos Central. Pode levar até cinco minutos.
No Sophos Central, na página Instantâneos forenses, faça o seguinte:
1. Digite o nome do bucket S3, o qual deve corresponder ao nome do bucket na política gerenciada.
2. Opcionalmente, insira o nome de diretório de bucket onde deseja que os instantâneos sejam carregados para o bucket S3.
3. Insira a Função ARN criada no AWS.
4. Clique em Salvar.

Criar uma política de bucket

Recomendamos criar uma política de bucket para restringir o acesso ao bucket S3 para o qual você pretende carregar instantâneos forenses.

Para restringir o acesso:

Adicione a seguinte política de bucket:

{
    "Version":"2012-10-17",
    "Id":"S3PolicyIPRestrict",
    extratos
        {
            "Sid":"IPAllow",
            "Effect":"Allow",
            "Principal":{
                AWS
            },
            "Action":"s3:PutObject",
            "Resource":"arn:aws:s3:::<bucket-name>/*",
            Condição
                Endereço de IP
                    "aws:SourceIp":"192.168.143.0/24"
                }
            }
        },
        {
            "Sid":"AllowRead",
            Ação:
                "s3:GetObject"
            ],
            "Effect":"Allow",
            "Resource":"arn:aws:s3:::<bucket-name>/*",
            "Principal":{
                "AWS":[
                    "arn:aws:iam::123456789012:root"
                ]
            }
        }
    ]
}

Essa política:

Permite que apenas os endereços de IP especificados carreguem instantâneos para o bucket. Estes devem ser os endereços de IP externos de pontos finais ou firewalls.
Permite que somente pessoas autorizadas acessem os instantâneos no bucket.

Há alguma questão sobre a qual eu deva estar ciente?

O carregamento para buckets com encriptação KMS não é suportado, mas a encriptação AES-256 é suportada. Você não precisa habilitar a encriptação AES-256 em um bucket S3, embora recomendemos. O Sophos carrega instantâneos com um cabeçalho de encriptação AES-256.
Caracteres especiais nos nomes de buckets não são suportados. Para obter uma lista de caracteres permitidos, consulte Chave de objeto e metadados.
Devido a uma limitação no AWS, os instantâneos que demoram mais de 1 hora para carregar não serão carregados, pois o tempo esgotará. Isso é mais provável se você escolher um período de tempo de contenção mais longo para o instantâneo.
Se você tiver um firewall em seu ambiente, verifique se as suas regras permitem o carregamento de instantâneos para o bucket S3 do AWS.