取證快照
取證快照從電腦活動的 Sophos 記錄中獲取資料,以便您可以執行自己的分析。
您可以從威脅圖表或裝置的詳細資料頁面中的 狀態 索引標籤建立取證快照。
要執行此操作,請移至 我的產品 > 一般設定 > 取證快照。
您可以設定快照中需要的資料量以及要放置它們的位置。
注意
設定選項可能尚未適用於所有客戶。
為取證快照設定時期
預設情況下,快照包含前兩週的資料。
您可以在這裡設定不同的時期或選擇包含所有可用資料。
將取證快照上傳至 AWS S3 桶
預設情況下,快照儲存在本地電腦上。
或者,您可以將快照上傳到 AWS S3 桶。這使您可以輕鬆存取中心位置的快照,而不用前往每台電腦。
- 輸入您要上傳快照的 S3 桶名稱和目錄。
-
前往您的 AWS 主控台並建立新 IAM 角色。您需要包含將快照資料放入 S3 桶的 Sophos Proxy 帳戶的詳細資訊。使用我們提供的 AWS 帳號 ID: 和 AWS 外部 ID:。
有關如何設定 AWS S3 貯體以便上傳快照的完整詳細資料,請參見 將取證快照上傳至 AWS S3 貯體。
-
返回 取證快照 頁面並輸入您的 ARN(Amazon 資源名稱)。
- 按一下儲存。
注意
如果您使用 Sophos Firewall,它可能會封鎖到 S3 值區的資料流。如果發生這種情況,請更新防火牆的策略以允許此資料流。
限制
AWS 設定的限制是、如果上傳的時間超過一小時、上傳就會逾時。如果快照中的資料包含較長的時間,則更有可能發生這種情況。