Konfigurieren Sie BlueXP Ransomware-Schutzeinstellungen
Sie können ein Backup-Ziel konfigurieren, die Bedrohungserkennung aktivieren oder die Verbindung zu Data Infrastructure Insights Workload Security konfigurieren, indem Sie auf die Option Settings zugreifen. Durch die Aktivierung der Bedrohungserkennung werden Daten automatisch an Ihr Sicherheits- und Ereignismanagementsystem (SIEM) zur Bedrohungsanalyse gesendet.
Auf der Seite Einstellungen können Sie Folgendes tun:
-
Konfigurieren Sie die Verbindung zu Data Infrastructure Insights Workload Security, um vermutete Benutzerinformationen in Ransomware-Warnmeldungen einzusehen.
-
Hinzufügen eines Sicherungsziels.
-
Schließen Sie Ihr Sicherheits- und Ereignismanagementsystem (SIEM) zur Bedrohungsanalyse und -Erkennung an.
Greifen Sie direkt auf die Seite Einstellungen zu
Über die Option Aktionen im oberen Menü können Sie ganz einfach auf die Seite Einstellungen zugreifen.
-
Wählen Sie im Menü BlueXP Ransomware-Schutz die vertikalen Märkte aus … Option oben rechts.
-
Wählen Sie im Dropdown-Menü Einstellungen.
Stellen Sie eine Verbindung zu Data Infrastructure Insights her Workload-Sicherheit, um vermutetes anomales Benutzerverhalten zu erkennen
Bevor Sie Details zu vermutlich ungewöhnlichem Benutzerverhalten beim BlueXP -Ransomware-Schutz anzeigen können, müssen Sie die Verbindung mit dem Workload-Sicherheitssystem von Data Infrastructure Insights konfigurieren.
Erhalten Sie ein API-Zugriffstoken vom Sicherheitssystem Data Infrastructure Insights Workload
Erhalten Sie ein API-Zugriffstoken vom Sicherheitssystem Data Infrastructure Insights Workload.
-
Melden Sie sich beim Sicherheitssystem Data Infrastructure Insights Workload an.
-
Wählen Sie in der linken Navigation Admin > API Access.
-
Erstellen Sie entweder ein API-Zugriffstoken oder verwenden Sie ein vorhandenes.
-
Kopieren Sie das API-Zugriffstoken.
Einblicke in die Workload-Sicherheit der Dateninfrastruktur
-
Wählen Sie im Menü BlueXP Ransomware Protection Settings Workload Security Connection aus.
-
Wählen Sie Verbinden.
-
Geben Sie die URL für die Benutzeroberfläche für die Sicherheit von Dateninfrastruktur-Workloads ein.
-
Geben Sie das API-Zugriffstoken ein, das Zugriff auf die Workload-Sicherheit bietet.
-
Wählen Sie Verbinden.
Hinzufügen eines Sicherungsziels
Durch den Ransomware-Schutz von BlueXP können Workloads erkannt werden, für die noch keine Backups vorhanden sind, sowie Workloads, denen noch keine Backup-Ziele zugewiesen sind.
Um diese Workloads zu schützen, müssen Sie ein Backup-Ziel hinzufügen. Sie können eines der folgenden Sicherungsziele auswählen:
-
NetApp StorageGRID
-
Amazon Web Services (AWS)
-
Google Cloud Platform
-
Microsoft Azure
Sie können ein Backup-Ziel basierend auf einer empfohlenen Aktion über das Dashboard oder über den Zugriff auf die Option Einstellungen im Menü hinzufügen.
Greifen Sie über die empfohlenen Aktionen des Dashboards auf die Optionen für das Sicherungsziel zu
Das Dashboard enthält zahlreiche Empfehlungen. Möglicherweise empfiehlt sich die Konfiguration eines Backup-Ziels.
-
Wählen Sie in der linken Navigationsleiste von BlueXP Schutz > Ransomware-Schutz.
-
Überprüfen Sie den Fensterbereich Empfohlene Aktionen im Dashboard.
-
Wählen Sie im Dashboard Überprüfen und beheben für die Empfehlung „<backup provider> als Sicherungsziel vorbereiten“.
-
Fahren Sie mit den Anweisungen je nach Backup-Anbieter fort.
Fügen Sie StorageGRID als Backup-Ziel hinzu
Geben Sie die folgenden Informationen ein, um NetApp StorageGRID als Backup-Ziel einzurichten.
-
Wählen Sie auf der Seite Einstellungen > Sicherungsziele Hinzufügen aus.
-
Geben Sie einen Namen für das Sicherungsziel ein.
-
Wählen Sie StorageGRID.
-
Wählen Sie den Abwärtspfeil neben jeder Einstellung aus, und geben Sie Werte ein oder wählen Sie diese aus:
-
Provider-Einstellungen:
-
Erstellen eines neuen Buckets oder Bring-Your-Own-Bucket, mit dem die Backups gespeichert werden sollen.
-
StorageGRID Gateway Node Vollqualifizierter Domain Name, Port, StorageGRID-Zugriffsschlüssel und geheime Schlüssel-Anmeldeinformationen.
-
-
Netzwerk: Wählen Sie den IPspace.
-
Der IPspace ist das Cluster, in dem sich die Volumes, die Sie sichern möchten, befinden. Die Intercluster-LIFs für diesen IPspace müssen über Outbound-Internetzugang verfügen.
-
-
-
Wählen Sie Hinzufügen.
Das neue Sicherungsziel wird der Liste der Sicherungsziele hinzugefügt.
Fügen Sie Amazon Web Services als Backup-Ziel hinzu
Um AWS als Backup-Ziel einzurichten, geben Sie die folgenden Informationen ein.
Weitere Informationen zum Management Ihres AWS Storage in BlueXP finden Sie unter "Amazon S3 Buckets managen".
-
Wählen Sie auf der Seite Einstellungen > Sicherungsziele Hinzufügen aus.
-
Geben Sie einen Namen für das Sicherungsziel ein.
-
Wählen Sie Amazon Web Services.
-
Wählen Sie den Abwärtspfeil neben jeder Einstellung aus, und geben Sie Werte ein oder wählen Sie diese aus:
-
Provider-Einstellungen:
-
Erstellen Sie einen neuen Bucket, wählen Sie einen vorhandenen Bucket aus, wenn dieser bereits in BlueXP vorhanden ist, oder verwenden Sie einen eigenen Bucket, mit dem die Backups gespeichert werden sollen.
-
AWS-Konto, Region, Zugriffsschlüssel und geheimer Schlüssel für AWS Zugangsdaten
-
-
Verschlüsselung: Wenn Sie einen neuen S3-Bucket erstellen, geben Sie die Ihnen vom Provider bereitgestellten Verschlüsselungsschlüsselinformationen ein. Wenn Sie einen vorhandenen Bucket auswählen, sind Verschlüsselungsinformationen bereits verfügbar.
Daten im Bucket werden standardmäßig mit von AWS gemanagten Schlüsseln verschlüsselt. Sie können entweder die von AWS gemanagten Schlüssel weiterhin verwenden oder die Verschlüsselung Ihrer Daten mit Ihren eigenen Schlüsseln managen.
-
Netzwerk: Wählen Sie den IPspace und ob Sie einen privaten Endpunkt verwenden werden.
-
Der IPspace ist das Cluster, in dem sich die Volumes, die Sie sichern möchten, befinden. Die Intercluster-LIFs für diesen IPspace müssen über Outbound-Internetzugang verfügen.
-
Wählen Sie optional aus, ob Sie einen zuvor konfigurierten privaten AWS-Endpunkt (PrivateLink) verwenden möchten.
Informationen zur Verwendung von AWS PrivateLink finden Sie unter "AWS PrivateLink für Amazon S3".
-
-
Backup Lock: Wählen Sie aus, ob der Dienst Backups vor Änderung oder Löschung schützen soll. Diese Option verwendet die NetApp DataLock-Technologie. Jedes Backup wird während der Aufbewahrungsfrist oder für mindestens 30 Tage gesperrt, zuzüglich einer Pufferzeit von bis zu 14 Tagen.
Wenn Sie die Einstellung für die Sicherungssperre jetzt konfigurieren, können Sie die Einstellung später nach der Konfiguration des Sicherungsziels nicht mehr ändern. -
Governance-Modus: Bestimmte Benutzer (mit s3:BypassGovernanceRetention-Berechtigung) können geschützte Dateien während der Aufbewahrungsfrist überschreiben oder löschen.
-
Compliance-Modus: Benutzer können geschützte Backup-Dateien während der Aufbewahrungsfrist nicht überschreiben oder löschen.
-
-
-
Wählen Sie Hinzufügen.
Das neue Sicherungsziel wird der Liste der Sicherungsziele hinzugefügt.
Hinzufügen von Google Cloud Platform als Backup-Ziel
Um die Google Cloud Platform (GCP) als Backup-Ziel einzurichten, geben Sie die folgenden Informationen ein.
Weitere Informationen zum Management von GCP-Storage in BlueXP finden Sie unter "Connector-Installationsoptionen in Google Cloud".
-
Wählen Sie auf der Seite Einstellungen > Sicherungsziele Hinzufügen aus.
-
Geben Sie einen Namen für das Sicherungsziel ein.
-
Wählen Sie Google Cloud Platform.
-
Wählen Sie den Abwärtspfeil neben jeder Einstellung aus, und geben Sie Werte ein oder wählen Sie diese aus:
-
Provider-Einstellungen:
-
Erstellen Sie einen neuen Bucket. Geben Sie den Zugriffsschlüssel und den geheimen Schlüssel ein.
-
Geben Sie Ihr Projekt und Ihre Region für die Google Cloud Platform ein oder wählen Sie es aus.
-
-
Verschlüsselung: Wenn Sie einen neuen Bucket erstellen, geben Sie die Verschlüsselungsschlüsselinformationen ein, die Sie vom Provider erhalten. Wenn Sie einen vorhandenen Bucket auswählen, sind Verschlüsselungsinformationen bereits verfügbar.
Die Daten im Bucket werden standardmäßig mit von Google gemanagten Schlüsseln verschlüsselt. Sie können weiterhin von Google verwaltete Schlüssel verwenden.
-
Netzwerk: Wählen Sie den IPspace und ob Sie einen privaten Endpunkt verwenden werden.
-
Der IPspace ist das Cluster, in dem sich die Volumes, die Sie sichern möchten, befinden. Die Intercluster-LIFs für diesen IPspace müssen über Outbound-Internetzugang verfügen.
-
Wählen Sie optional aus, ob Sie einen zuvor konfigurierten privaten GCP-Endpunkt (PrivateLink) verwenden möchten.
-
-
-
Wählen Sie Hinzufügen.
Das neue Sicherungsziel wird der Liste der Sicherungsziele hinzugefügt.
Hinzufügen von Microsoft Azure als Backup-Ziel
Um Azure als Backup-Ziel einzurichten, geben Sie die folgenden Informationen ein.
Weitere Informationen zum Management Ihrer Azure Zugangsdaten und Marketplace-Abonnements in BlueXP finden Sie unter "Management Ihrer Azure Zugangsdaten und Marketplace-Abonnements".
-
Wählen Sie auf der Seite Einstellungen > Sicherungsziele Hinzufügen aus.
-
Geben Sie einen Namen für das Sicherungsziel ein.
-
Wählen Sie Azure.
-
Wählen Sie den Abwärtspfeil neben jeder Einstellung aus, und geben Sie Werte ein oder wählen Sie diese aus:
-
Provider-Einstellungen:
-
Erstellen Sie ein neues Storage-Konto, wählen Sie ein vorhandenes Konto aus, falls es bereits in BlueXP vorhanden ist, oder verwenden Sie ein eigenes Storage-Konto zum Speichern der Backups.
-
Azure-Abonnement, Region und Ressourcengruppe für Azure-Anmeldeinformationen
-
-
Verschlüsselung: Wenn Sie ein neues Speicherkonto anlegen, geben Sie die Verschlüsselungsschlüsseldaten ein, die Sie vom Anbieter erhalten. Wenn Sie ein vorhandenes Konto ausgewählt haben, sind Verschlüsselungsinformationen bereits verfügbar.
Die Daten im Konto werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Sie können entweder weiterhin von Microsoft gemanagte Schlüssel oder die Verschlüsselung Ihrer Daten mit eigenen Schlüsseln managen.
-
Netzwerk: Wählen Sie den IPspace und ob Sie einen privaten Endpunkt verwenden werden.
-
Der IPspace ist das Cluster, in dem sich die Volumes, die Sie sichern möchten, befinden. Die Intercluster-LIFs für diesen IPspace müssen über Outbound-Internetzugang verfügen.
-
Wählen Sie optional aus, ob Sie einen zuvor konfigurierten privaten Azure-Endpunkt verwenden möchten.
Informationen zur Verwendung von Azure PrivateLink finden Sie unter "Azure PrivateLink".
-
-
-
Wählen Sie Hinzufügen.
Das neue Sicherungsziel wird der Liste der Sicherungsziele hinzugefügt.
Bedrohungserkennung aktivieren
Sie können automatisch Daten an Ihr Sicherheits- und Event-Management-System (SIEM) senden, um Bedrohungen zu analysieren und zu erkennen. AWS Security Hub, Microsoft Sentinel oder Splunk Cloud können als SIEM ausgewählt werden.
Bevor Sie SIEM in BlueXP Ransomware-Schutz aktivieren, müssen Sie Ihr SIEM-System konfigurieren.
AWS Security Hub für die Erkennung von Bedrohungen konfigurieren
Bevor Sie AWS Security Hub im BlueXP Ransomware-Schutz aktivieren, müssen Sie im AWS Security Hub die folgenden grundlegenden Schritte durchführen:
-
Richten Sie Berechtigungen im AWS Security Hub ein.
-
Richten Sie den Authentifizierungsschlüssel und den geheimen Schlüssel im AWS Security Hub ein. (Diese Schritte sind hier nicht aufgeführt.)
-
Wechseln Sie zu AWS IAM Console.
-
Wählen Sie Richtlinien Aus.
-
Erstellen Sie eine Richtlinie mit dem folgenden Code im JSON-Format:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NetAppSecurityHubFindings", "Effect": "Allow", "Action": [ "securityhub:BatchImportFindings", "securityhub:BatchUpdateFindings" ], "Resource": [ "arn:aws:securityhub:*:*:product/*/default", "arn:aws:securityhub:*:*:hub/default" ] } ] }
Konfigurieren Sie Microsoft Sentinel für die Erkennung von Bedrohungen
Bevor Sie Microsoft Sentinel in BlueXP Ransomware-Schutz aktivieren, müssen Sie die folgenden grundlegenden Schritte in Microsoft Sentinel ausführen:
-
Voraussetzungen
-
Aktivieren Sie Microsoft Sentinel.
-
Erstellen Sie eine benutzerdefinierte Rolle in Microsoft Sentinel.
-
-
Anmeldung
-
Registrieren Sie den BlueXP Ransomware-Schutz, um Ereignisse von Microsoft Sentinel zu erhalten.
-
Erstellen Sie einen Schlüssel für die Registrierung.
-
-
Berechtigungen: Der Anwendung Berechtigungen zuweisen.
-
Authentifizierung: Geben Sie Authentifizierungsdaten für die Anwendung ein.
-
Gehen Sie zu Microsoft Sentinel.
-
Erstellen Sie einen Log Analytics Workspace.
-
Aktivieren Sie Microsoft Sentinel, um den soeben erstellten Arbeitsbereich Log Analytics zu verwenden.
-
Gehen Sie zu Microsoft Sentinel.
-
Wählen Sie Subscription > Access Control (IAM).
-
Geben Sie einen benutzerdefinierten Rollennamen ein. Verwenden Sie den Namen BlueXP Ransomware-Schutz Sentinel Configurator.
-
Kopieren Sie den folgenden JSON und fügen Sie ihn in die Registerkarte JSON ein.
{ "roleName": "BlueXP Ransomware Protection Sentinel Configurator", "description": "", "assignableScopes":["/subscriptions/{subscription_id}"], "permissions": [ ] }
-
Überprüfen und speichern Sie Ihre Einstellungen.
-
Gehen Sie zu Microsoft Sentinel.
-
Wählen Sie Entra-ID > Anwendungen > App-Registrierungen.
-
Geben Sie für den Anzeigenamen für die Anwendung „BlueXP Ransomware Protection“ ein.
-
Wählen Sie im Feld unterstützter Kontotyp Accounts nur in diesem Organisationsverzeichnis aus.
-
Wählen Sie einen Standardindex, in dem Ereignisse verschoben werden.
-
Wählen Sie Bewertung.
-
Wählen Sie Registrieren, um Ihre Einstellungen zu speichern.
Nach der Registrierung zeigt das Microsoft Entra Admin Center den Bereich Anwendungsübersicht an.
-
Gehen Sie zu Microsoft Sentinel.
-
Wählen Sie Zertifikate & Geheimnisse > Kundengeheimnisse > Neues Kundengeheimnis.
-
Fügen Sie eine Beschreibung für Ihren Anwendungsgeheimnis hinzu.
-
Wählen Sie einen Ablauf für das Geheimnis aus oder geben Sie eine benutzerdefinierte Lebensdauer an.
Eine geheime Lebensdauer eines Kunden ist auf zwei Jahre (24 Monate) oder weniger begrenzt. Microsoft empfiehlt, einen Ablaufwert von weniger als 12 Monaten festzulegen. -
Wählen Sie Hinzufügen, um Ihr Geheimnis zu erstellen.
-
Notieren Sie den Schlüssel, der im Authentifizierungsschritt verwendet werden soll. Das Geheimnis wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben.
-
Gehen Sie zu Microsoft Sentinel.
-
Wählen Sie Subscription > Access Control (IAM).
-
Wählen Sie Hinzufügen > Rollenzuweisung hinzufügen.
-
Wählen Sie im Feld privilegierte Administratorrollen die Option BlueXP Ransomware-Schutz Sentinel Configurator aus.
Dies ist die zuvor erstellte benutzerdefinierte Rolle. -
Wählen Sie Weiter.
-
Wählen Sie im Feld Zugriff zuweisen zu Benutzer, Gruppe oder Dienstprinzipal aus.
-
Wählen Sie Mitglieder Auswählen. Wählen Sie dann BlueXP Ransomware-Schutz Sentinel Configurator.
-
Wählen Sie Weiter.
-
Wählen Sie im Feld What user can do die Option allow user to assign all roles except Privileged Administrator roles Owner, UAA, RBAC (Empfohlen) aus.
-
Wählen Sie Weiter.
-
Wählen Sie Überprüfen und Zuweisen, um die Berechtigungen zuzuweisen.
-
Gehen Sie zu Microsoft Sentinel.
-
Geben Sie die Anmeldeinformationen ein:
-
Geben Sie die Mandanten-ID, die Client-Anwendungs-ID und den geheimen Schlüssel der Client-Anwendung ein.
-
Klicken Sie Auf Authentifizieren.
Nachdem die Authentifizierung erfolgreich war, wird eine Meldung „authentifiziert“ angezeigt.
-
-
Geben Sie die Details des Arbeitsbereichs Log Analytics für die Anwendung ein.
-
Wählen Sie die Abonnement-ID, die Ressourcengruppe und den Arbeitsbereich Protokollanalyse aus.
-
Splunk Cloud für Bedrohungserkennung konfigurieren
Bevor Sie Splunk Cloud in BlueXP Ransomware-Schutz aktivieren, sind die folgenden grundlegenden Schritte in Splunk Cloud erforderlich:
-
Aktivieren Sie einen HTTP-Ereignissammler in Splunk Cloud, um Ereignisdaten über HTTP oder HTTPS von BlueXP zu empfangen.
-
Erstellen Sie ein Event Collector-Token in Splunk Cloud.
-
Besuchen Sie Splunk Cloud.
-
Wählen Sie Einstellungen > Dateneingänge.
-
Wählen Sie HTTP Event Collector > Globale Einstellungen.
-
Wählen Sie auf dem Schalter Alle Token die Option aktiviert aus.
-
Um den Event Collector über HTTPS statt HTTP zu hören und zu kommunizieren, wählen Sie SSL aktivieren.
-
Geben Sie einen Port unter HTTP-Portnummer für den HTTP-Event-Collector ein.
-
Besuchen Sie Splunk Cloud.
-
Wählen Sie Einstellungen > Daten Hinzufügen.
-
Wählen Sie Monitor > HTTP Event Collector.
-
Geben Sie einen Namen für das Token ein und wählen Sie Weiter.
-
Wählen Sie einen Standardindex aus, in dem Ereignisse verschoben werden sollen, und wählen Sie dann Review aus.
-
Bestätigen Sie, dass alle Einstellungen für den Endpunkt korrekt sind, und wählen Sie dann Absenden.
-
Kopieren Sie das Token, und fügen Sie es in ein anderes Dokument ein, damit es für den Authentifizierungsschritt bereit ist.
SIEM in BlueXP Ransomware-Schutz einbinden
Durch die Aktivierung von SIEM werden Daten vom BlueXP Ransomware-Schutz zur Bedrohungsanalyse und Berichterstellung an Ihren SIEM Server gesendet.
-
Wählen Sie im BlueXP -Menü Schutz > Ransomware-Schutz.
-
Wählen Sie im Menü BlueXP Ransomware-Schutz die vertikalen Märkte aus … Option oben rechts.
-
Wählen Sie Einstellungen.
Die Seite Einstellungen wird angezeigt.
-
Wählen Sie auf der Seite Einstellungen im Feld SIEM Connection Connect aus.
-
Wählen Sie eines der SIEM-Systeme.
-
Geben Sie die Token- und Authentifizierungsdetails ein, die Sie im AWS Security Hub oder in Splunk Cloud konfiguriert haben.
Welche Informationen Sie eingeben, hängt vom ausgewählten SIEM ab. -
Wählen Sie Enable.
Auf der Seite „Einstellungen“ wird „Verbunden“ angezeigt.