跳至內容

將取證快照上傳至 AWS S3 貯體

按照以下說明上傳取證快照。

限制

此選項目前僅適用於 Windows 電腦,且需要 Core Agent 2.5.0 及更新版本。

預設情況下,快照儲存在本地電腦上。或者,您可以將快照上傳到 Amazon Web Services (AWS) S3 貯體。這使您可以輕鬆存取中心位置的快照,而不用前往每台電腦。

若要上傳快照,您必須有可用的 AWS S3 貯體。您還需要進行以下操作:

  • 在 AWS 中建立受管理的策略。
  • 將您的 AWS 帳戶新增至Sophos Central。
  • 建立 AWS 貯體策略,以限制對 S3 貯體的存取。

有關威脅圖表的更多資訊,請參見 威脅圖表分析

建立受管理策略

若要在 AWS 中建立託管原則,請依照以下步驟操作:

  1. 在 Amazon Web Services (AWS) 儀表板中,前往S安全性、身份和合規下列出的 IAM
  2. 點擊左側導覽欄上的原則
  3. 點擊建立策略
  4. 點擊JSON
  5. 新增以下策略:

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowPutObject",
                "Effect": "Allow",
                    "Action": [
                        "s3:PutObject",
                        "s3:GetBucketLocation"
                    ],
                    "Resource": [
                        "arn:aws:s3:::<bucket-name>",
                        "arn:aws:s3:::<bucket-name>/*"
                    ]
            }
        ]
    }
    

    注意

    您需要將<bucket-name> 替換爲要上傳快照的貯體名稱。

  6. 點擊檢視策略以查看複製的策略是否有效。

  7. 命名策略。

    範例:Sophos-Central-Forensic-Snapshot-Upload

  8. 提供說明。

    範例:This policy allows Sophos Central to upload forensic snapshots to a given S3 bucket.

  9. 點擊建立策略

將 AWS 帳戶新增至 Sophos Central

若要新增您的賬戶,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至 我的產品 > 一般設定 > 取證快照
  2. 開啟 將取證快照上傳至 AWS S3 桶
  3. 記下 AWS 帳號 ID:AWS 外部 ID:
  4. 在 Amazon Web Services 中,執行下列操作來建立 IAM 角色:

    1. 在 Amazon Web Services 儀表板中,前往安全與身份下的身份與存取管理

    2. 點擊左側導覽欄上的角色

    3. 點擊建立角色
    4. 點擊另一個 AWS 帳戶
    5. 輸入由 Sophos Central 提供的帳戶 ID外部 ID

    6. 開啟需要外部 ID。當第三方承擔此角色時,建議採用此最佳做法。

    7. 關閉需要 MFA

    8. 按一下 下一步:權限
    9. 附加先前建立的策略,然後點選下一步:標籤
    10. 將可選標記留白,然後單選下一步:檢查
    11. 輸入角色名稱角色描述(可選)。
    12. 點擊建立角色,然後複製角色 ARN(Amazon 資源名稱)。
  5. 您必須等待此角色傳播至 AWS 中的所有區域,才能將帳戶新增至 Sophos Central。此可能需要最多 5 分鐘。

  6. 取證快照頁面上的Sophos Central中,執行以下操作:

    1. 輸入 S3 貯體名稱。這必須符合受管理策略中的貯體名稱。
    2. 您也可以選擇輸入要將快照上傳到 S3 貯體中的貯體目錄名稱。
    3. 輸入在 AWS 中建立的角色 ARN
    4. 按一下儲存

建立貯體策略

我們建議您建立貯體策略,以限制對要上傳取證快照的 S3 貯體的存取。

若要限制存取:

  1. 新增以下貯體策略:

    {
        "Version":"2012-10-17",
        "Id":"S3PolicyIPRestrict",
        "Statement":[
            {
                "Sid":"IPAllow",
                "Effect":"Allow",
                "Principal":{
                    "AWS":"*"
                },
                "Action":"s3:PutObject",
                "Resource":"arn:aws:s3:::<bucket-name>/*",
                "Condition":{
                    "IpAddress":{
                        "aws:SourceIp":"192.168.143.0/24"
                    }
                }
            },
            {
                "Sid":"AllowRead",
                "Action":[
                    "s3:GetObject"
                ],
                "Effect":"Allow",
                "Resource":"arn:aws:s3:::<bucket-name>/*",
                "Principal":{
                    "AWS":[
                        "arn:aws:iam::123456789012:root"
                    ]
                }
            }
        ]
    }
    

    此策略:

    • 只允許指定的 IP 位址將快照上傳到貯體。這些應該是端點或防火牆的外送 IP 位址。
    • 只允許授權人員存取貯體中的快照。

是否有任何我應該知道的問題?

  • 不支援以 KMS 加密上傳至貯體,但支援 AES-256 加密。您不必在 S3 貯體上啟用 AES-256 加密,但我們建議您啟用。Sophos 使用 AES-256 加密標頭上傳快照。

  • 貯體名稱不支援特殊字符。如需允許的字元清單,請參閱物件索引鍵和中繼資料

  • 由於 AWS 的限制,上傳時間超過 1 小時的快照將會逾時,導致無法進行上傳。如果您選擇讓快照包含較長的時間段,則較有可能發生這種情況。

  • 如果您的環境中有防火牆,請檢查您的規則是否允許將快照上傳至 AWS S3 貯體。