Requisitos del sistema:
- Cliente 3.5 de EDR o posterior
- Extensión 3.5 de cliente de EDR o posterior
- Un cubo S3 de Amazon Web Services (AWS)
- Una cuenta de usuario IAM con PutObject acceso de programación a la bucket S3.
Nota: Las responsabilidades de los clientes incluyen:
- Costos de AWS bucket S3
- Asegurándose de que todas las opciones de configuración de seguridad, el uso de servicio y las configuraciones de servicio relacionadas con AWS se implementan conforme a las directivas de ti y seguridad . Estas opciones de configuración se deben supervisar regularmente para la continuidad del funcionamiento y la conformidad con sus directivas internas y normativas.
Depósitos de S3: ajustes sugeridos
Los clientes deben revisar sus necesidades de uso para enviar trazas a S3. El siguiente es un conjunto de opciones de configuración sugeridas. Los clientes deben asegurarse de que elijan una configuración que satisfaga sus necesidades funcionales y de seguridad.
Permisos de IAM-directivas sugeridas:
Es necesario crear un usuario IAM para escribir trazas en el bucket S3 adecuado. La clave de acceso y la clave secreta de este usuario se introducen en la
extensión del cliente EDR de ePO y se distribuyen de forma segura a los endpoints de EDR. Se recomienda otorgar a este usuario solo los permisos mínimos necesarios.
La siguiente directiva sugerida solo permite el acceso de escritura o PutObject a un nombre de depósito y un prefijo específicos:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<bucketname>/<prefix>"
}
]
}
Se debe utilizar un usuario distinto con una directiva de destino para leer rastros del sector de EDR.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3::: <bucketname>/<prefix>”
},
{
“Sid”: “VisualEditor1”,
“Effect”: “Allow”,
“Action”: [
“s3:ListBucketVersions”,
“s3:ListBucket”
],
“Resource”: [
“arn:aws:s3::: <bucketname>”
]
}
]
}
Otras consideraciones:
AWS implementa un límite de 3500 solicitudes por segundo por prefijo en un sector S3. Si se alcanza este umbral de forma constante, provoca que los búferes del cliente de EDR locales alcancen sus límites y se pierdan algunas trazas. Al escalar hasta muchos endpoints, debe segmentarlos en ePO en grupos que utilicen distintos depósitos o prefijos para evitar alcanzar los límites
.
.
Consulte
KB51417-cómo crear y aplicar etiquetas en EPolicy Orchestrator.
