跳至內容

取證快照

取證快照從電腦活動的 Sophos 記錄中獲取資料,以便您可以執行自己的分析。

您可以從威脅圖表或裝置的詳細資料頁面中的 狀態 索引標籤建立取證快照。

要執行此操作,請移至 我的產品 > 一般設定 > 取證快照

您可以設定快照中需要的資料量以及要放置它們的位置。

注意

設定選項可能尚未適用於所有客戶。

為取證快照設定時期

預設情況下,快照包含前兩週的資料。

您可以在這裡設定不同的時期或選擇包含所有可用資料。

將取證快照上傳至 AWS S3 桶

預設情況下,快照儲存在本地電腦上。

或者,您可以將快照上傳到 AWS S3 桶。這使您可以輕鬆存取中心位置的快照,而不用前往每台電腦。

  1. 輸入您要上傳快照的 S3 桶名稱和目錄。
  2. 前往您的 AWS 主控台並建立新 IAM 角色。您需要包含將快照資料放入 S3 桶的 Sophos Proxy 帳戶的詳細資訊。使用我們提供的 AWS 帳號 ID:AWS 外部 ID:

    有關如何設定 AWS S3 貯體以便上傳快照的完整詳細資料,請參見 將取證快照上傳至 AWS S3 貯體

  3. 返回 取證快照 頁面並輸入您的 ARN(Amazon 資源名稱)。

  4. 按一下儲存

注意

如果您使用 Sophos Firewall,它可能會封鎖到 S3 值區的資料流。如果發生這種情況,請更新防火牆的策略以允許此資料流。

限制

AWS 設定的限制是、如果上傳的時間超過一小時、上傳就會逾時。如果快照中的資料包含較長的時間,則更有可能發生這種情況。