Skip to main content
NetApp Ransomware Resilience
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verbinden Sie NetApp Ransomware Resilience mit einem SIEM für Bedrohungsanalyse und -erkennung

Beitragende netapp-ahibbard
Änderungen vorschlagen
PDFs

Ein Security Information and Event Management System (SIEM) zentralisiert Protokoll- und Ereignisdaten, um Einblicke in Sicherheitsereignisse und Compliance zu ermöglichen. NetApp Ransomware Resilience unterstützt das automatische Senden von Daten an Ihr SIEM für eine optimierte Bedrohungsanalyse und -erkennung.

Ransomware Resilience unterstützt die folgenden SIEMs:

  • AWS Security Hub

  • Microsoft Sentinel

  • Splunk Cloud

  • Splunk Enterprise

Bevor Sie SIEM in Ransomware Resilience aktivieren, müssen Sie Ihr SIEM-System konfigurieren.

Tipp Ransomware Resilience unterstützt auch "Security Orchestration, Automation, and Response (SOAR)-Playbooks".

Ereignisdaten, die an ein SIEM gesendet werden

Ransomware Resilience kann die folgenden Ereignisdaten an Ihr SIEM-System senden:

  • Kontext:

    • os: Dies ist eine Konstante mit dem Wert von ONTAP.

    • os_version: Die auf dem System ausgeführte ONTAP -Version.

    • connector_id: Die ID des Konsolenagenten, der das System verwaltet.

    • cluster_id: Die von ONTAP für das System gemeldete Cluster-ID.

    • svm_name: Der Name der SVM, auf der die Warnung gefunden wurde.

    • volume_name: Der Name des Volumes, auf dem sich die Warnung befindet.

    • volume_id: Die ID des von ONTAP für das System gemeldeten Volumes.

  • Vorfall:

    • incident_id: Die von Ransomware Resilience für das in Ransomware Resilience angegriffene Volume generierte Vorfall-ID.

    • alert_id: Die von Ransomware Resilience für die Arbeitslast generierte ID.

    • Schweregrad: Der Schweregrad der Alarmstufen: „CRITICAL“, „HIGH“, „MEDIUM“, „LOW“.

    • Beschreibung: Details zur erkannten Warnung, z. B. „Ein potenzieller Ransomware-Angriff wurde auf Workload arp_learning_mode_test_2630 erkannt.“

    • Titel: Der Anzeigename der erkannten Warnung

    • Kritikalität: Eine Einschätzung der Kritikalität des Volumens in Ihrer Umgebung: „KRITISCH“, „WICHTIG“, „STANDARD“.

    • incident_status: Der aktive Status des Vorfalls, der folgende Werte annehmen kann: "NEW", "RESOLVED", "DISMISSED", "AUTO_RESOLVED".

    • first_detected: Der Zeitstempel, der angibt, wann der Vorfall von Ransomware Resilience erstmals erkannt wurde.

    • is_readiness_drill: Ein boolescher Wert, der angibt, ob es sich bei der Warnung um eine Übung oder einen tatsächlichen Vorfall handelt.

    • Protokoll: Das vom Volume verwendete Protokoll. Mögliche Werte sind "iSCSI", "NFS" und "SMB".

    • alert_type: Die Art der erkannten Bedrohung. Mögliche Werte sind „Verschlüsselung“, „Datenzerstörung“, „Datenleck“ und „Verdächtiges Benutzerverhalten“.

    • user_name: Der Benutzername des verdächtigen Benutzers, der mit der Warnung in Verbindung steht.

    • user_id: Die Benutzer-ID des verdächtigen Benutzers, der mit der Warnung verknüpft ist.

    • client_ips: Eine Liste der Client-IP-Adressen, die mit der verdächtigen Aktivität in Verbindung stehen, gilt nur für NFS-Warnungen.

Hinweis Die Felder user_name und user_id sind nur relevant, wenn Sie Erkennung des Nutzerverhaltens konfiguriert haben.

Konfigurieren Sie AWS Security Hub für die Bedrohungserkennung

Bevor Sie AWS Security Hub in NetApp Ransomware Resilience aktivieren, müssen Sie die folgenden Schritte auf hoher Ebene in AWS Security Hub durchführen:

  • Richten Sie Berechtigungen im AWS Security Hub ein.

  • Richten Sie den Authentifizierungszugriffsschlüssel und den geheimen Schlüssel im AWS Security Hub ein. (Diese Schritte werden hier nicht bereitgestellt.)

Schritte zum Einrichten von Berechtigungen im AWS Security Hub

  1. Gehen Sie zur AWS IAM-Konsole.

  2. Wählen Sie Richtlinien aus.

  3. Erstellen Sie eine Richtlinie mit dem folgenden Code im JSON-Format:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

Konfigurieren von Microsoft Sentinel zur Bedrohungserkennung

Bevor Sie Microsoft Sentinel in NetApp Ransomware Resilience aktivieren, müssen Sie die folgenden Schritte auf hoher Ebene in Microsoft Sentinel durchführen:

  • Voraussetzungen

    • Aktivieren Sie Microsoft Sentinel.

    • Erstellen Sie eine benutzerdefinierte Rolle in Microsoft Sentinel.

  • Anmeldung

    • Registrieren Sie Ransomware Resilience, um Ereignisse von Microsoft Sentinel zu erhalten.

    • Erstellen Sie ein Geheimnis für die Registrierung.

  • Berechtigungen: Weisen Sie der Anwendung Berechtigungen zu.

  • Authentifizierung: Geben Sie die Authentifizierungsdaten für die Anwendung ein.

Microsoft Sentinel aktivieren

  1. Gehen Sie zu Microsoft Sentinel.

  2. Erstellen Sie einen Log Analytics-Arbeitsbereich.

  3. Aktivieren Sie Microsoft Sentinel, um den gerade erstellten Log Analytics-Arbeitsbereich zu verwenden.

Erstellen einer benutzerdefinierten Rolle in Microsoft Sentinel

  1. Gehen Sie zu Microsoft Sentinel.

  2. Wählen Sie Abonnement > Zugriffskontrolle (IAM).

  3. Geben Sie einen benutzerdefinierten Rollennamen ein. Verwenden Sie den Namen Ransomware Resilience Sentinel Configurator.

  4. Kopieren Sie das folgende JSON und fügen Sie es in die Registerkarte JSON ein.

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. Überprüfen und speichern Sie Ihre Einstellungen.

Registrieren Sie Ransomware Resilience, um Ereignisse von Microsoft Sentinel zu erhalten.

  1. Gehen Sie zu Microsoft Sentinel.

  2. Wählen Sie Entra ID > Anwendungen > App-Registrierungen.

  3. Geben Sie als Anzeigenamen für die Anwendung „Ransomware Resilience“ ein.

  4. Wählen Sie im Feld Unterstützter Kontotyp die Option Nur Konten in diesem Organisationsverzeichnis aus.

  5. Wählen Sie einen Standardindex aus, in den Ereignisse übertragen werden.

  6. Wählen Sie Überprüfen aus.

  7. Wählen Sie Registrieren, um Ihre Einstellungen zu speichern.

    Nach der Registrierung zeigt das Microsoft Entra Admin Center den Anwendungsübersichtsbereich an.

Erstellen Sie ein Geheimnis für die Registrierung

  1. Gehen Sie zu Microsoft Sentinel.

  2. Wählen Sie Zertifikate und Geheimnisse > Clientgeheimnisse > Neues Clientgeheimnis.

  3. Fügen Sie eine Beschreibung für Ihr Anwendungsgeheimnis hinzu.

  4. Wählen Sie ein Ablaufdatum für das Geheimnis aus oder geben Sie eine benutzerdefinierte Lebensdauer an.

    Tipp Die Lebensdauer eines Client-Geheimnisses ist auf zwei Jahre (24 Monate) oder weniger begrenzt. Microsoft empfiehlt, einen Ablaufwert von weniger als 12 Monaten festzulegen.

  5. Wählen Sie Hinzufügen, um Ihr Geheimnis zu erstellen.

  6. Notieren Sie das im Authentifizierungsschritt zu verwendende Geheimnis. Das Geheimnis wird nie wieder angezeigt, nachdem Sie diese Seite verlassen haben.

Berechtigungen zuweisen

  1. Gehen Sie zu Microsoft Sentinel.

  2. Wählen Sie Abonnement > Zugriffskontrolle (IAM).

  3. Wählen Sie Hinzufügen > Rollenzuweisung hinzufügen.

  4. Wählen Sie im Feld Privilegierte Administratorrollen die Option Ransomware Resilience Sentinel Configurator aus.

    Tipp Dies ist die benutzerdefinierte Rolle, die Sie zuvor erstellt haben.

  5. Wählen Sie Weiter.

  6. Wählen Sie im Feld Zugriff zuweisen an die Option Benutzer, Gruppe oder Dienstprinzipal aus.

  7. Wählen Sie Mitglieder auswählen. Wählen Sie dann Ransomware Resilience Sentinel Configurator.

  8. Wählen Sie Weiter.

  9. Wählen Sie im Feld Was der Benutzer tun kann die Option Dem Benutzer erlauben, alle Rollen außer den privilegierten Administratorrollen „Besitzer“, „UAA“ und „RBAC“ zuzuweisen (empfohlen).

  10. Wählen Sie Weiter.

  11. Wählen Sie Überprüfen und zuweisen aus, um die Berechtigungen zuzuweisen.

Geben Sie Authentifizierungsanmeldeinformationen ein.

  1. Gehen Sie zu Microsoft Sentinel.

  2. Geben Sie die Anmeldeinformationen ein:

    1. Geben Sie die Mandanten-ID, die Client-Anwendungs-ID und das Client-Anwendungsgeheimnis ein.

    2. Wählen Sie Authenticate aus.

      Hinweis Nach erfolgreicher Authentifizierung wird die Meldung „Authentifiziert“ angezeigt.

  3. Geben Sie die Log Analytics-Arbeitsbereichsdetails für die Anwendung ein.

    1. Wählen Sie die Abonnement-ID, die Ressourcengruppe und den Log Analytics-Arbeitsbereich aus.

Konfigurieren Sie Splunk Cloud und Splunk Enterprise für die Bedrohungserkennung

Ransomware Resilience unterstützt die Bedrohungserkennung mit Splunk Cloud und Splunk Enterprise. Bevor Sie die Splunk-Verbindung in Ransomware Resilience aktivieren, müssen Sie Folgendes tun:

  • Aktivieren Sie einen HTTP Event Collector in Splunk Cloud oder Enterprise, um Ereignisdaten über HTTP oder HTTPS von der Konsole zu empfangen.

  • Erstellen Sie ein Event Collector-Token in Splunk Cloud oder Enterprise.

Hinweis Für Splunk Enterprise müssen Sie eingehenden öffentlichen Internetverkehr zulassen, damit Ransomware Resilience Ereignisse mithilfe der bereitgestellten HTTP-Ereignissammlerdetails senden kann.
Aktivieren eines HTTP-Ereignissammlers in Splunk

  1. Wechseln Sie zu Ihrer gewählten Splunk-Umgebung: Cloud oder Enterprise.

  2. Wählen Sie Einstellungen > Dateneingaben.

  3. Wählen Sie HTTP-Ereignissammler > Globale Einstellungen.

  4. Wählen Sie auf dem Umschalter „Alle Token“ die Option Aktiviert aus.

  5. Damit der Event Collector über HTTPS statt über HTTP lauscht und kommuniziert, wählen Sie SSL aktivieren.

  6. Geben Sie in HTTP-Portnummer einen Port für den HTTP-Ereignissammler ein.

Erstellen Sie ein Event Collector-Token in Splunk

  1. Wechseln Sie zu Splunk Cloud oder Enterprise.

  2. Wählen Sie Einstellungen > Daten hinzufügen.

  3. Wählen Sie Monitor > HTTP-Ereignissammler.

  4. Geben Sie einen Namen für das Token ein und wählen Sie Weiter.

  5. Wählen Sie einen Standardindex aus, in den Ereignisse übertragen werden, und wählen Sie dann Überprüfen.

  6. Bestätigen Sie, dass alle Einstellungen für den Endpunkt korrekt sind, und wählen Sie dann Senden aus.

  7. Kopieren Sie das Token und fügen Sie es in ein anderes Dokument ein, um es für den Authentifizierungsschritt bereit zu haben.

SIEM-Integration in Ransomware-Resilienz

Durch die Aktivierung von SIEM werden Daten von Ransomware Resilience zur Bedrohungsanalyse und -berichterstattung an Ihren SIEM-Server gesendet.

Schritte

  1. Wählen Sie im Konsolenmenü Schutz > Ransomware-Resilienz.

  2. Wählen Sie im Menü Ransomware Resilience die vertikaleVertikale Aktionen …​ Option oben rechts.

  3. Wählen Sie Einstellungen.

    Die Seite „Einstellungen“ wird angezeigt.

    Seite „Einstellungen“

  4. Wählen Sie auf der Seite „Einstellungen“ in der Kachel „SIEM-Verbindung“ die Option „Verbinden“ aus.

    Detailseite zur Bedrohungserkennung aktivieren

  5. Wählen Sie eines der SIEM-Systeme.

  6. Geben Sie das Token und die Authentifizierungsdetails ein, die Sie in AWS Security Hub, Splunk Cloud oder Splunk Enterprise konfiguriert haben.

    Hinweis Die von Ihnen eingegebenen Informationen hängen von dem von Ihnen ausgewählten SIEM ab.

  7. Wählen Sie Aktivieren.

    Auf der Seite „Einstellungen“ wird „Verbunden“ angezeigt.

Nächste Schritte