INDICADO As responsabilidades dos clientes incluem:

• Custos do Bucket AWS S3
• Certificando-se de que todas as configurações de segurança relacionadas a AWS, o uso do serviço e as configurações do serviço são implementadas de acordo com o TI e segurança políticas. Essas configurações devem ser monitoradas regularmente para fins de continuidade de operação e conformidade com suas políticas internas e normativas.

Bucket S3 – configurações sugeridas

Os clientes devem revisar suas necessidades de uso para enviar rastreamentos para o S3. A seguir, há um conjunto de configurações sugeridas. Os clientes devem ter certeza de que escolherão uma configuração que atenda às suas necessidades funcionais e de segurança.

Configuração	Valor sugerido	Sobre
Versionamento de Bucket	Disponível	A ativação do controle de versão de Bucket garante que, se a chave de acesso de AWS e a chave secreta se tornarem comprometidos, os dados de rastreamento existentes não poderão ser sobrescritos. Exibidas https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
Criptografia padrão	Disponível	Para certificar-se de que os dados de rastreamento sejam criptografados em repouso no S3, escolha Amazon chave S3 (SSE-S3) ou AWS Key Management Service chave (SSE-KMS). Exibidas https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html
Evento de dados do AWS CloudTrail	Pré-configurado	Configura AWS CloudTrail para criar um log de chamadas de API S3. Exibidas https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging.html

Permissões IAM – políticas sugeridas:

Um usuário IAM precisa ser criado para gravar rastreamentos no Bucket S3 apropriado. A chave de acesso e a chave secreta para esse usuário são inseridas no Extensão do cliente EDR do ePO e distribuído de forma segura para pontos de extremidade EDRs. É recomendável que apenas as permissões mínimas necessárias sejam dadas a este usuário.

A política sugerida a seguir permite somente gravar ou PutObjectr o acesso a um nome de Bucket específico e o prefixo:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::/"
}
]
}

Um usuário diferente com uma política de destino deve ser usado para a leitura de rastreamentos do Bucket EDR.

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3::: /”
},
{
“Sid”: “VisualEditor1”,
“Effect”: “Allow”,
“Action”: [
“s3:ListBucketVersions”,
“s3:ListBucket”
],
“Resource”: [
“arn:aws:s3::: ”
]
}
]
}