Requisiti di sistema:
- Client 3.5 EDR o versione successiva
- Estensione 3.5 client EDR o versione successiva
- Un bucket Amazon Web Services (AWS) S3
- Un account utente IAM con accesso a livello di codice PutObject al bucket S3.
Nota: Le responsabilità dei clienti includono:
- Costi del bucket AWS S3
- Assicurandosi che tutte le impostazioni di sicurezza, l'utilizzo del servizio e le configurazioni di servizio relative a AWS siano implementate in conformità con le policy it e di sicurezza . Queste impostazioni devono essere monitorate regolarmente per garantire la continuità operativa e la conformità con le rispettive policy interne e normative.
S3 bucket – impostazioni consigliate
I clienti devono rivedere le proprie esigenze di utilizzo per l'invio di tracce a S3. Di seguito è riportato un set di impostazioni consigliate. I clienti devono assicurarsi di scegliere una configurazione che soddisfi le loro esigenze funzionali e di sicurezza.
Autorizzazioni IAM – Policy consigliate:
È necessario creare un utente IAM per scrivere tracce nel bucket S3 appropriato. La chiave di accesso e la chiave segreta per questo utente vengono immesse nell'
estensione client ePO EDR e distribuite in modo sicuro agli endpoint EDR. Si consiglia di assegnare solo le autorizzazioni minime necessarie a questo utente.
La policy suggerita di seguito consente solo l'accesso a scrittura o PutObject a un nome di bucket specifico e al prefisso:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<bucketname>/<prefix>"
}
]
}
Per leggere le tracce dal bucket EDR, è necessario utilizzare un altro utente con una policy mirato.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3::: <bucketname>/<prefix>”
},
{
“Sid”: “VisualEditor1”,
“Effect”: “Allow”,
“Action”: [
“s3:ListBucketVersions”,
“s3:ListBucket”
],
“Resource”: [
“arn:aws:s3::: <bucketname>”
]
}
]
}
Altre considerazioni:
AWS implementa un limite di 3500 put richieste al secondo per prefisso in un bucket S3. Se questa soglia viene raggiunta in modo costante, i buffer del client EDR locali raggiungono i propri limiti e alcune tracce vengono perse. Quando si esegue la scalabilità fino a molti endpoint, è necessario segmentare gli endpoint in ePO in gruppi che utilizzano diversi bucket o prefissi per evitare di colpire i limiti
.
Vedi
KB51417-come creare e applicare tag in ePolicy Orchestrator.