S3归档
InsightIDR S3 Archiving允许您利用Amazon Web Services S3存储的存储能力,在您自己的控制下保留一份InsightIDR搜索数据的副本。
配置此功能后,S3存档根据您的规格将所有新InsightIdr搜索数据发送到AWS S3存储桶。每天一次,桶从前一天收到所有数据。数据的第一天将在设置后大约24小时交付。导出的数据将与日志搜索界面中显示的格式相同,因此它将被解析和归因在适用的情况下。
要使用S3桶并归档InsightIDR中的数据:
配置AWS S3桶
在您的AWS帐户中,确定您想要用于存储InsightIDR数据的S3桶。创建S3桶的步骤如下:https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html
配置S3桶为InsightIDR授予权限。
- 登录您的AWS帐户。
- 在左上角,选择服务>存储> S3。
- 点击+创建桶链接创建新桶,或选择所有桶查看并搜索要使用的现有S3桶。
- 选择权限选项卡,然后选择访问控制列表按钮。
- 选择新增帐户按下并粘贴以下账号:
a9c2e4259cad99e03b67c7450d6cc9c0d4f3243363c80ca73f6b5152ff293bb0.- 这是AWS帐户的Insidota2必威联赛ght平台,可将数据传送到S3桶。
进入帐户后,AWS可以将该帐户名称缩短为“archive”。
- 为该帐户授予以下权限:
- 列表对象
- 写对象
- 读取桶权限
- 写桶权限
- 点击保存按钮。
启用S3加密
只有当您希望在存储桶上启用服务器端KMS加密时,才需要执行此步骤。如果是,请遵循以下步骤:
创建一个新的KMS密钥:
- 登录您的AWS帐户。
- 选择KMS >客户管理密钥>创建密钥。
- 选择'Symmetric'作为密钥类型。
- 添加标签您希望附加到KMS密钥。
- 定义关键管理权限。
- 您可以定义密钥使用权限,但不需要这一点。
- 检讨现有的主要政策:
- 你应在现有的“声明”下插入以下内容:
1
{
2
"Sid": "Allow use of the key by Rapid7",
3.
“效果”:“允许”,
4
“主要”:{
5
:“AWS攻击:AWS:我::029723416200:角色/ learchiving”
6
},
7
“行动”(
8
公里:加密”,
9
公里:解密”,
10
“公里:ReEncrypt *”,
11
“KMS:生成的东西*”,
12
“公里:DescribeKey”
13
],
14
“资源”:“*”
15
}
- 选择“S3 Bucket > Properties”页签“> Default Encryption”,单击“Edit”。
- 将新创建的密钥分配给bucket。
在Insutigridr中配置S3归档
配置S3桶接收InsightIDR数据的权限后,需要配置InsightIDR将数据归档到S3桶中。要启用数据归档:
- 登录InsightIDR。
- 选择设置页左边的菜单。
- 选择日志搜索> S3 Archiving.
- 切换在使S3存档设置。
- 输入您在AWS帐户上创建的用于存储InsightIDR归档日志数据的S3桶的确切名称。
- 点击保存按钮。
如果InsightIDR可以验证您的设置,将显示一个成功的横幅。
如果添加该帐户的验证过程失败,请联系Rapid7 Support手动添加桶到该帐户。
支持地区
下面是S3存档支持的区域:
S3地区 |
URL |
|---|---|
US_STANDARD |
|
US_WEST_OREGON |
|
US_EAST_OHIO |
|
US_WEST_N_CALIFORNIA |
|
CA_CENTRAL |
|
EU_IRELAND |
|
eu_london. |
|
EU_PARIS. |
|
EU_FRANKFURT |
|
AP_MUMBAI |
|
AP_SEOUL |
|
AP_SINGAPORE |
|
ap_sydney. |
|
AP_TOKYO |
|
SA_SAO_PAULO |