Requisitos do sistema:
- Cliente 3.5 EDR ou posterior
- Extensão 3.5 de cliente do EDR ou posterior
- Um Bucket S3 de Amazon Web Services (AWS)
- Uma conta de usuário IAM com acesso de PutObject programático ao Bucket S3.
Nota: As responsabilidades dos clientes incluem:
- Custos do Bucket AWS S3
- Certificando-se de que todas as configurações de segurança relacionadas a AWS, o uso do serviço e as configurações do serviço são implementadas de acordo com as políticas de segurança e de ti . Essas configurações devem ser monitoradas regularmente para fins de continuidade de operação e conformidade com suas políticas internas e normativas.
Bucket S3 – configurações sugeridas
Os clientes devem revisar suas necessidades de uso para enviar rastreamentos para o S3. A seguir, há um conjunto de configurações sugeridas. Os clientes devem ter certeza de que escolherão uma configuração que atenda às suas necessidades funcionais e de segurança.
Permissões iam – políticas sugeridas:
Um usuário IAM precisa ser criado para gravar rastreamentos no Bucket S3 apropriado. A chave de acesso e a chave secreta para esse usuário são inseridas na
extensão do cliente do ePO EDR e distribuídas com segurança para os pontos de extremidade do EDR. É recomendável que apenas as permissões mínimas necessárias sejam dadas a este usuário.
A política sugerida a seguir permite somente gravar ou PutObjectr o acesso a um nome de Bucket específico e o prefixo:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<bucketname>/<prefix>"
}
]
}
Um usuário diferente com uma política de destino deve ser usado para a leitura de rastreamentos do Bucket EDR.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3::: <bucketname>/<prefix>”
},
{
“Sid”: “VisualEditor1”,
“Effect”: “Allow”,
“Action”: [
“s3:ListBucketVersions”,
“s3:ListBucket”
],
“Resource”: [
“arn:aws:s3::: <bucketname>”
]
}
]
}
Outras considerações:
AWS implementa um limite de 3500 solicitações Put por segundo por prefixo em um Bucket S3. Se esse limite for atingido consistentemente, ele fará com que os buffers do cliente do EDR local atinjam seus limites e alguns rastreamentos serão perdidos. Ao dimensionar até muitos pontos de extremidade, você deve segmentar os pontos de extremidade no ePO em grupos que usam diferentes buckets ou prefixos para evitar o acompanhamento dos limites
.
Consulte
KB51417-como criar e aplicar marcas no EPolicy Orchestrator.
