Configuration système requise :
- EDR client 3.5 ou version ultérieure
- Extension 3.5 client EDR ou version ultérieure
- Un Amazon Web Services (AWS) S3
- Un compte utilisateur IAM avec un accès par programmation PutObject à S3 Bucket.
Remarque : Les responsabilités des clients sont les suivantes :
- Coûts du compartiment AWS S3
- Veiller à ce que tous les paramètres de sécurité, l’utilisation de service et les configurations de service associés à AWS soient mis en œuvre conformément aux stratégies de sécurité et d’informatique . Ces paramètres doivent être régulièrement surveillés pour assurer la continuité de fonctionnement et la conformité à leurs politiques internes et réglementaires.
S3 Bucket : Paramètres suggérés
Les clients doivent passer en revue leurs besoins d’envoi de traçages à S3. Vous trouverez ci-dessous un ensemble de paramètres suggérés. Les clients doivent s’assurer qu’ils choisissent une configuration qui répond à leurs besoins fonctionnels et de sécurité.
Les
autorisations IAM : stratégies suggérées :
Un utilisateur IAM doit être créé pour écrire des traçages dans le compartiment S3 approprié. La clé d’accès et la clé secrète de cet utilisateur sont saisies dans l'
extension client ePO EDR et distribuées en toute sécurité vers des postes clients. Il est conseillé de n’octroyer que les autorisations minimales requises à cet utilisateur.
La stratégie suggérée suivante autorise uniquement l’accès en écriture ou PutObject à un nom de compartiment et à un préfixe spécifiques :
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<bucketname>/<prefix>"
}
]
}
Un autre utilisateur doté d’une stratégie ciblée doit être utilisé pour lire les traçages à partir de la plage EDR.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3::: <bucketname>/<prefix>”
},
{
“Sid”: “VisualEditor1”,
“Effect”: “Allow”,
“Action”: [
“s3:ListBucketVersions”,
“s3:ListBucket”
],
“Resource”: [
“arn:aws:s3::: <bucketname>”
]
}
]
}
Autres considérations :
AWS implémente une limite de 3500 Placez les demandes par seconde par préfixe dans un compartiment S3. Si ce seuil est régulièrement atteint, les buffers du client EDR local atteignent leurs limites et certaines traces sont perdues. Lors de la mise à niveau vers un grand nombre de postes clients, vous devez segmenter les postes clients dans ePO en groupes utilisant des compartiments ou des préfixes différents pour éviter d’atteindre les limites
.
voir
la section KB51417-comment créer et appliquer des marqueurs dans ePolicy Orchestrator.