跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=forensic-snapshot-upload

將取證快照上傳至 AWS S3 貯體

按照以下說明上傳取證快照。

限制

此選項目前僅適用於 Windows 電腦,且需要 Core Agent 2.5.0 及更新版本。

預設情況下,快照儲存在本地電腦上。或者,您可以將快照上傳到 Amazon Web Services (AWS) S3 貯體。這使您可以輕鬆存取中心位置的快照,而不用前往每台電腦。

若要上傳快照,您必須有可用的 AWS S3 貯體。您還需要進行以下操作:

  • 在 AWS 中建立受管理的策略。
  • 將您的 AWS 帳戶新增至Sophos Central。
  • 建立 AWS 貯體策略,以限制對 S3 貯體的存取。

有關威脅圖表的更多資訊,請參見 威脅圖表分析

建立受管理策略

若要在 AWS 中建立託管原則,請依照以下步驟操作:

  1. 在 Amazon Web Services (AWS) 儀表板中,前往S安全性、身份和合規下列出的 IAM
  2. 點擊左側導覽欄上的策略
  3. 點擊建立策略
  4. 點擊JSON

  5. 新增以下策略:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPutObject",
            "Effect": "Allow",
                "Action": [
                    "s3:PutObject",
                    "s3:GetBucketLocation"
                ],
                "Resource": [
                    "arn:aws:s3:::<bucket-name>",
                    "arn:aws:s3:::<bucket-name>/*"
                ]
        }
    ]
}

    注意

    您需要將<bucket-name> 替換爲要上傳快照的貯體名稱。

  6. 點擊檢視策略以查看複製的策略是否有效。

  7. 命名策略。

    範例:Sophos-Central-Forensic-Snapshot-Upload

  8. 提供說明。

    範例:This policy allows Sophos Central to upload forensic snapshots to a given S3 bucket.

  9. 點擊建立策略

將 AWS 帳戶新增至 Sophos Central

若要新增您的賬戶,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至 整體設定,然後按一下 取證快照
  2. 開啟 將取證快照上傳至 AWS S3 桶
  3. 記下 AWS 帳號 ID:AWS 外部 ID:

  4. 在 Amazon Web Services 中,執行下列操作來建立 IAM 角色:

    1. 在 Amazon Web Services 儀表板中,前往安全與身份下的身份與存取管理

    2. 點擊左側導覽欄上的角色

    3. 點擊建立角色
    4. 點擊另一個 AWS 帳戶

    5. 輸入由 Sophos Central 提供的帳戶 ID外部 ID

    6. 開啟需要外部 ID。當第三方承擔此角色時,建議採用此最佳做法。

    7. 關閉需要 MFA

    8. 按一下 下一步:權限
    9. 附加先前建立的策略,然後點選下一步:標籤
    10. 將可選標記留白,然後單選下一步:檢查
    11. 輸入角色名稱角色描述(可選)。
    12. 點擊建立角色,然後複製角色 ARN(Amazon 資源名稱)。

  5. 您必須等待此角色傳播至 AWS 中的所有區域,才能將帳戶新增至 Sophos Central。此可能需要最多 5 分鐘。

  6. 取證快照頁面上的Sophos Central中,執行以下操作:

    1. 輸入 S3 貯體名稱。這必須符合受管理策略中的貯體名稱。
    2. 您也可以選擇輸入要將快照上傳到 S3 貯體中的貯體目錄名稱。
    3. 輸入在 AWS 中建立的角色 ARN
    4. 按一下儲存

建立貯體策略

我們建議您建立貯體策略,以限制對要上傳取證快照的 S3 貯體的存取。

若要限制存取:

  1. 新增以下貯體策略:

    {
    "Version":"2012-10-17",
    "Id":"S3PolicyIPRestrict",
    "Statement":[
        {
            "Sid":"IPAllow",
            "Effect":"Allow",
            "Principal":{
                "AWS":"*"
            },
            "Action":"s3:PutObject",
            "Resource":"arn:aws:s3:::<bucket-name>/*",
            "Condition":{
                "IpAddress":{
                    "aws:SourceIp":"192.168.143.0/24"
                }
            }
        },
        {
            "Sid":"AllowRead",
            "Action":[
                "s3:GetObject"
            ],
            "Effect":"Allow",
            "Resource":"arn:aws:s3:::<bucket-name>/*",
            "Principal":{
                "AWS":[
                    "arn:aws:iam::123456789012:root"
                ]
            }
        }
    ]
}

    此策略:

    • 只允許指定的 IP 位址將快照上傳到貯體。這些應該是端點或防火牆的外送 IP 位址。
    • 只允許授權人員存取貯體中的快照。

是否有任何我應該知道的問題?

  • 不支援以 KMS 加密上傳至貯體,但支援 AES-256 加密。您不必在 S3 貯體上啟用 AES-256 加密,但我們建議您啟用。Sophos 使用 AES-256 加密標頭上傳快照。

  • 貯體名稱不支援特殊字符。如需允許的字元清單,請參閱物件索引鍵和中繼資料

  • 由於 AWS 的限制,上傳時間超過 1 小時的快照將會逾時,導致無法進行上傳。如果您選擇讓快照包含較長的時間段,則較有可能發生這種情況。

  • 如果您的環境中有防火牆,請檢查您的規則是否允許將快照上傳至 AWS S3 貯體。