Hochladen eines forensischen Snapshots in einen AWS S3-Bucket
Befolgen Sie diese Anweisungen, um einen forensischen Snapshot hochzuladen.
Einschränkung
Diese Option ist derzeit nur für Windows-Computer verfügbar und erfordert Core Agent 2.5.0 und höher.
Standardmäßig werden Snapshots auf dem lokalen Computer gespeichert. Sie können Snapshots jedoch auch in einen AWS S3-Bucket hochladen. So können Sie Ihre Snapshots ganz einfach an einem zentralen Speicherort abrufen.
Zum Hochladen von Snapshots benötigen Sie einen verfügbaren AWS S3-Bucket. Führen Sie folgende Schritte aus:
- Erstellen Sie eine verwaltete Richtlinie in AWS.
- Fügen Sie Ihr AWS-Konto zu Sophos Central hinzu.
- Erstellen Sie eine AWS Bucket-Richtlinie, um den Zugriff auf den S3-Bucket zu beschränken.
Für weitere Informationen zu Bedrohungsgraphen siehe Analyse des Bedrohungsgraphen.
Erstellen einer verwalteten Richtlinie
Verfahren Sie zur Erstellung einer verwalteten Richtlinie in AWS wie folgt:
- Gehen Sie im Amazon Web Services (AWS)-Dashboard zu IAM, das unter Sicherheit, Identität und Compliance aufgeführt ist.
- Klicken Sie in der Navigationsleiste auf der linken Seite auf Richtlinien.
- Klicken Sie auf Richtlinie erstellen.
- Klicken Sie auf JSON.
-
Fügen Sie die folgende Richtlinie hinzu:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::<bucket-name>", "arn:aws:s3:::<bucket-name>/*" ] } ] }
Hinweis
Sie müssen <bucket-name> durch den Namen des Bucket ersetzen, in den Ihre Snapshots hochgeladen werden.
-
Klicken Sie auf Richtlinie überprüfen, um zu überprüfen, ob die kopierte Richtlinie gültig ist.
-
Geben Sie der Richtlinie einen Namen.
Beispiel:
Sophos-Central-Forensic-Snapshot-Upload
. -
Geben Sie eine Beschreibung ein.
Beispiel:
This policy allows Sophos Central to upload forensic snapshots to a given S3 bucket.
-
Klicken Sie auf Richtlinie erstellen.
Hinzufügen eines AWS-Kontos zu Sophos Central
Um Ihr Konto hinzuzufügen, gehen Sie folgendermaßen vor:
- Gehen Sie in Sophos Central zu Meine Produkte > Allgemeine Einstellungen > Forensische Snapshots.
- Aktivieren Sie Forensischen Snapshot in einen AWS-S3-Bucket hochladen.
- Notieren Sie sich AWS Konto-ID und AWS Externe ID.
-
Erstellen Sie in Amazon Web Services die IAM-Rolle wie folgt:
-
Gehen Sie im Amazon Web Services-Dashboard zu Identity & Access Management, das unter Security & Identity aufgeführt ist.
-
Klicken Sie in der Navigationsleiste auf der linken Seite auf Rollen.
- Klicken Sie auf Rolle erstellen.
- Klicken Sie auf Weiteres AWS-Konto.
-
Geben Sie die Konto-ID und die externe ID ein, die von Sophos Central bereitgestellt werden.
-
Aktivieren Sie Externe ID erforderlich. Dies wird empfohlen, wenn ein Dritter diese Rolle übernimmt.
-
Deaktivieren Sie MFA erforderlich.
- Klicken Sie auf Weiter: Berechtigungen.
- Fügen Sie die zuvor erstellte Richtlinie bei, und klicken Sie auf Weiter: Tags.
- Lassen Sie die optionalen Tags leer, und klicken Sie auf Weiter: Zusammenfassung.
- Geben Sie einen Rollennamen und optional eine Rollenbeschreibung ein.
- Klicken Sie auf Rolle erstellen, und kopieren Sie die Rolle ARN (Amazon Resource Name).
-
-
Sie müssen warten, bis diese Rolle auf alle Regionen in AWS übertragen wird, bevor Sie das Konto zu Sophos Central hinzufügen können. Dies kann bis zu fünf Minuten dauern.
-
Gehen Sie in Sophos Central auf der Seite Forensische Snapshots wie folgt vor:
- Geben Sie den Namen des S3-Bucket ein. Dieser muss mit dem Namen des Bucket in der verwalteten Richtlinie übereinstimmen.
- Geben Sie optional einen Namen für das Bucket-Verzeichnis ein, in das die Snapshots in den S3-Bucket hochgeladen werden sollen.
- Geben Sie die Rolle ARN ein, die in AWS erstellt wurde.
- Klicken Sie auf Speichern.
Erstellen einer Bucket-Richtlinie
Wir empfehlen, eine Bucket-Richtlinie zu erstellen, um den Zugriff auf den S3-Bucket zu beschränken, in den Sie forensische Snapshots hochladen möchten.
So schränken Sie den Zugriff ein:
-
Fügen Sie die folgende Bucket-Richtlinie hinzu:
{ "Version":"2012-10-17", "Id":"S3PolicyIPRestrict", "Statement":[ { "Sid":"IPAllow", "Effect":"Allow", "Principal":{ "AWS":"*" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::<bucket-name>/*", "Condition":{ "IpAddress":{ "aws:SourceIp":"192.168.143.0/24" } } }, { "Sid":"AllowRead", "Action":[ "s3:GetObject" ], "Effect":"Allow", "Resource":"arn:aws:s3:::<bucket-name>/*", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:root" ] } } ] }
Diese Richtlinie:
- Erlaubt nur den angegebenen IP-Adressen, Snapshots in den Bucket hochzuladen. Hierbei handelt es sich um die nach außen gerichteten IP-Adressen von Endpoints oder Firewalls.
- Erlaubt nur autorisierten Personen den Zugriff auf die Snapshots im Bucket.
Gibt es Probleme, die mir bekannt sein sollten?
-
Das Hochladen in Buckets mit KMS-Verschlüsselung wird nicht unterstützt, aber die AES-256-Verschlüsselung wird unterstützt. Sie müssen die AES-256-Verschlüsselung auf einem S3-Bucket nicht aktivieren, wir empfehlen dies aber. Sophos lädt Snapshots mit einem AES-256-Verschlüsselungsheader hoch.
-
Sonderzeichen für Bucket-Namen werden nicht unterstützt. Eine Liste der zulässigen Zeichen finden Sie unter Objektschlüssel und Metadaten.
-
Aufgrund einer Beschränkung in AWS wird der Upload von Snapshots, die länger als 1 Stunde zum Hochladen benötigen, abgebrochen. Dies ist umso wahrscheinlicher, je größer der Zeitraum ist, den Sie für den Snapshot gewählt haben.
-
Wenn Sie eine Firewall in Ihrer Umgebung haben, überprüfen Sie, ob Ihre Regeln das Hochladen von Snapshots in den AWS S3-Bucket zulassen.