將取證快照上傳至 AWS S3 桶

預設情況下，快照儲存在本地電腦上。或者，您可以將快照上傳到 Amazon Web Services (AWS) S3 貯體。這樣，您就可以在一個位置輕鬆存取您的快照，而無需存取每個裝置。

若要上傳快照，您必須有可用的 AWS S3 貯體。您還需要進行以下操作：

• 在 AWS 中建立受管理的策略。
• 將您的 AWS 帳戶新增至Sophos Central。
• (可選) 建立 AWS 貯體策略，以限制對 S3 貯體的存取。
• （可選）建立 AWS 儲存桶生命週期原則，以清除不再需要的資料。

建立受管理策略

若要在 AWS 中建立託管原則，請依照以下步驟操作：

1. 在 Amazon Web Services (AWS) 控制面板中，在「安全性、身分和合規性」下，前往IAM 。
2. 在左側功能表中，按一下 原則。
3. 點擊建立策略。
4. 選擇JSON選項索引標籤。

5. 新增以下原則文件：

   {
       "Version":"2012-10-17",
       "Statement": [
           {
               "Effect":"Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::<bucketName>",
                   "arn:aws:s3:::<bucketName>/*"
               ]
           }
       ]
   }
   

   注意

   將“bucketName”替換為要上傳快照的儲存桶的名稱。

6. 點擊檢視策略以查看複製的策略是否有效。

7. 命名策略。

   範例："Sophos-Central-Forensic-Snapshot-Upload".

8. 提供說明。

   範例："此策略允許Sophos Central將取證快照上載到給定的 S3 貯體。"

9. 點擊建立策略。

將 AWS 帳戶新增至 Sophos Central

若要新增您的賬戶，請依照以下步驟操作：

1. 按一下工作列中的「整體設定」。
2. 前往「產品和服務」 > “端點和伺服器” ，然​​後按一下「取證快照」 。
3. 開啟 將取證快照上傳至 AWS S3 桶。
4. 記下 AWS 帳號 ID： 和 AWS 外部 ID：。

5. 在 Amazon Web Services 中，執行下列操作來建立 IAM 角色：

   1. 在 AWS 管理主控台中，在「安全性和身分」下，前往「身分和存取管理」 。
   2. 在左側功能表中，按一下 角色。
   3. 點擊建立角色。
   4. 在「受信任實體類型」下，選擇「自訂信任原則」 。

   5. 新增以下原則文件：

      {
          "Version":"2012-10-17",
          "Statement": [
              {
                  "Effect":"Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::<accountId>:root"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                          "sts:ExternalId": "<externalId>"
                      }
                  }
              }
          ]
      }
      

      注意

      將 和 替換為您之前記下的 帳戶 ID 和 外部 ID。

   6. 點選「下一步」進入權限頁面。

   7. 附加您先前建立的原則，例如「Sophos-Central-Forensic-Data-Upload」。

   8. （可選）我們強烈建議您展開「設定權限邊界」 ，然後按一下「使用權限邊界」來控制最大角色權限。

      1. 附加先前建立的原則，例如「Sophos-Central-Forensic-Data-Upload」。

   9. 輸入角色名稱。

   10. 可选。輸入 角色描述。
   11. 點擊建立角色。
   12. 現在查看此角色並複製其角色 ARN （Amazon 資源名稱）。

   請等待此角色傳播到 AWS 中的所有區域，然後再將帳戶新增至Sophos Central。此可能需要最多 5 分鐘。

6. 在取證快照頁面上的Sophos Central中，執行以下操作：

   1. 請輸入S3儲存桶名稱。這必須與託管原則中的儲存桶名稱相符。
   2. （可選）輸入要將快照上傳到的 S3 儲存桶中的目錄名稱。
   3. 輸入先前在 AWS 中建立的角色 ARN 。
   4. 按一下 儲存。

建立貯體策略

我們強烈建議您建立儲存桶原則來限制對 S3 儲存桶的存取。下面展示的是一個保單原則。

新增以下貯體策略：

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Deny",
            "Principal":"*",
            "Action":"S3.*",
            "Resource":[
                "arn:aws:s3:::<bucketName>*",
                "arn:aws:s3:::<bucketName>/*"
            ],
            "Condition":{
                "StringNotEquals": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::<customerAccountId>:root",
                        "arn:aws:iam::<customerAccountId>:role/<iamRoleName>"
                    ]
                }
            }
        }
    ]
}

請如下取代佔位符：

• :取證資料將上傳到的儲存桶名稱。
• :您的 AWS 帳號 ID。您可以點擊右上角的用戶名，在 AWS 控制台中找到它。
• :上一節中建立的 IAM 角色的名稱。

此原則僅允許以下使用者向儲存桶上傳檔案或存取其中的資料：

• 帳戶所有者。
• 任何具有先前建立的 IAM 角色所設定權限的帳戶（該角色只能是Sophos）。

建立儲存桶生命週期原則

我們強烈建議您為 S3 儲存桶設定生命週期原則。這項原則避免了產生不必要的額外費用。

當取證資料檔案較大時， Sophos端點會自動分段上傳資料。如果發生我們無法控制的故障，多部分上傳可能會中斷，這可能會導致儲存桶中的資料不完整。AWS可能會就儲存這些不完整的資料向您收取費用。為避免這種情況，請在儲存桶上建立生命週期原則，以清理未完成的上傳。

若要建立生命週期原則，請依照下列步驟操作：

1. 登入 AWS 管理控制台。
2. 開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/。
3. 在儲存桶清單中，選擇要上傳取證資料的儲存桶。
4. 選擇「管理」索引標籤，然後選擇「建立生命週期規則」 。
5. 在「生命週期規則名稱」中，輸入規則的名稱，例如「刪除不完整的分段上傳」。
6. 選擇此規則適用於儲存桶中的所有物件。
7. 在生命週期規則操作下，選擇「刪除過期物件刪除標記或不完整的多部分上傳」 。
8. 在「刪除過期物件刪除標記或不完整的多部分上傳」下，選擇「刪除不完整的多部分上傳」 。
9. 在「天數」欄中，輸入7天。
10. 按一下 建立規則。

已知問題

• 不支援以 KMS 加密上傳至貯體，但支援 AES-256 加密。您不必在 S3 儲存桶上啟用 AES-256 加密，但我們建議您啟用。我們上傳帶有 AES-256 加密頭的快照。
• 儲存桶名稱不支援特殊字元。有關允許的字元列表，請參閱處理對像元資料。
• 如果您的環境中有防火牆，請檢查您的規則是否允許將快照上傳至 AWS S3 貯體。此建議不僅適用於Sophos Firewall，也適用於其他防火牆。