Skip to main content
NetApp Ransomware Resilience
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Conecta NetApp Ransomware Resilience al sistema de gestión de seguridad y eventos (SIEM) para análisis y detección de amenazas

Colaboradores netapp-ahibbard
PDF

Un sistema de gestión de eventos y seguridad (SIEM) centraliza los datos de registros y eventos para proporcionar información sobre eventos de seguridad y cumplimiento. NetApp Ransomware Resilience admite enviar automáticamente datos a tu SIEM para agilizar el análisis y la detección de amenazas.

Ransomware Resilience es compatible con los siguientes SIEMs:

  • AWS Security Hub

  • Microsoft Sentinel

  • Splunk Cloud

Antes de habilitar SIEM en Ransomware Resilience, debe configurar su sistema SIEM.

Datos de eventos enviados a un SIEM

Ransomware Resilience puede enviar los siguientes datos de eventos a su sistema SIEM:

  • contexto:

    • os: Esta es una constante con el valor de ONTAP.

    • os_version: La versión de ONTAP que se ejecuta en el sistema.

    • connector_id: El ID del agente de consola que administra el sistema.

    • cluster_id: El ID de clúster informado por ONTAP para el sistema.

    • svm_name: El nombre de la SVM donde se encontró la alerta.

    • volume_name: el nombre del volumen en el que se encuentra la alerta.

    • volume_id: El ID del volumen informado por ONTAP para el sistema.

  • incidente:

    • incident_id: El ID del incidente generado por Ransomware Resilience para el volumen atacado en Ransomware Resilience.

    • alert_id: El ID generado por Ransomware Resilience para la carga de trabajo.

    • gravedad: Uno de los siguientes niveles de alerta: "CRÍTICO", "ALTO", "MEDIO", "BAJO".

    • descripción: Detalles sobre la alerta detectada, por ejemplo, "Se detectó un posible ataque de ransomware en la carga de trabajo arp_learning_mode_test_2630".

Configurar AWS Security Hub para la detección de amenazas

Antes de habilitar AWS Security Hub en Ransomware Resilience, tienes que hacer los siguientes pasos de alto nivel en AWS Security Hub:

  • Configurar permisos en AWS Security Hub.

  • Configure la clave de acceso de autenticación y la clave secreta en AWS Security Hub. (Estos pasos no se proporcionan aquí.)

Pasos para configurar permisos en AWS Security Hub

  1. Vaya a la consola AWS IAM.

  2. Seleccione Políticas.

  3. Cree una política utilizando el siguiente código en formato JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

Configurar Microsoft Sentinel para la detección de amenazas

Antes de activar Microsoft Sentinel en Ransomware Resilience, tienes que hacer los siguientes pasos a grandes rasgos en Microsoft Sentinel:

  • Prerrequisitos

    • Habilitar Microsoft Sentinel.

    • Crear un rol personalizado en Microsoft Sentinel.

  • Registro

    • Registre Ransomware Resilience para recibir eventos de Microsoft Sentinel.

    • Crear un secreto para el registro.

  • Permisos: Asigna permisos a la aplicación.

  • Autenticación: Ingrese las credenciales de autenticación para la aplicación.

Pasos para habilitar Microsoft Sentinel

  1. Vaya a Microsoft Sentinel.

  2. Cree un espacio de trabajo de Log Analytics.

  3. Habilite Microsoft Sentinel para utilizar el espacio de trabajo de Log Analytics que acaba de crear.

Pasos para crear un rol personalizado en Microsoft Sentinel

  1. Vaya a Microsoft Sentinel.

  2. Seleccione Suscripción > Control de acceso (IAM).

  3. Introduzca un nombre de rol personalizado. Utilice el nombre Ransomware Resilience Sentinel Configurator.

  4. Copie el siguiente JSON y péguelo en la pestaña JSON.

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. Revise y guarde su configuración.

Pasos para registrar Ransomware Resilience para recibir eventos de Microsoft Sentinel

  1. Vaya a Microsoft Sentinel.

  2. Seleccione ID de entrada > Aplicaciones > Registros de aplicaciones.

  3. Para el Nombre para mostrar de la aplicación, ingrese "Ransomware Resilience".

  4. En el campo Tipo de cuenta compatible, seleccione Solo cuentas en este directorio organizacional.

  5. Seleccione un Índice predeterminado donde se enviarán los eventos.

  6. Seleccione Revisar.

  7. Seleccione Registrarse para guardar su configuración.

    Después del registro, el centro de administración de Microsoft Entra muestra el panel Descripción general de la aplicación.

Pasos para crear un secreto para el registro

  1. Vaya a Microsoft Sentinel.

  2. Seleccione Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente.

  3. Agregue una descripción para el secreto de su aplicación.

  4. Seleccione una Expiración para el secreto o especifique un período de vida personalizado.

    Consejo La vida útil del secreto de un cliente está limitada a dos años (24 meses) o menos. Microsoft recomienda que establezca un valor de expiración inferior a 12 meses.

  5. Seleccione Agregar para crear su secreto.

  6. Registre el secreto que se utilizará en el paso de Autenticación. El secreto nunca volverá a mostrarse después de salir de esta página.

Pasos para asignar permisos a la aplicación

  1. Vaya a Microsoft Sentinel.

  2. Seleccione Suscripción > Control de acceso (IAM).

  3. Seleccione Agregar > Agregar asignación de rol.

  4. Para el campo Roles de administrador privilegiado, seleccione Configurador de Ransomware Resilience Sentinel.

    Consejo Éste es el rol personalizado que creaste anteriormente.

  5. Seleccione Siguiente.

  6. En el campo Asignar acceso a, seleccione Usuario, grupo o entidad de servicio.

  7. Seleccione Seleccionar miembros. Luego, seleccione Ransomware Resilience Sentinel Configurator.

  8. Seleccione Siguiente.

  9. En el campo Qué puede hacer el usuario, seleccione Permitir al usuario asignar todos los roles excepto los roles de administrador privilegiado Propietario, UAA, RBAC (recomendado).

  10. Seleccione Siguiente.

  11. Seleccione Revisar y asignar para asignar los permisos.

Pasos para ingresar credenciales de autenticación para la aplicación

  1. Vaya a Microsoft Sentinel.

  2. Introduzca las credenciales:

    1. Ingrese el ID del inquilino, el ID de la aplicación del cliente y el secreto de la aplicación del cliente.

    2. Selecciona Autenticar.

      Nota Una vez que la autenticación es exitosa, aparece un mensaje de "Autenticado".

  3. Ingrese los detalles del espacio de trabajo de Log Analytics para la aplicación.

    1. Seleccione el ID de suscripción, el grupo de recursos y el espacio de trabajo de Log Analytics.

Configurar Splunk Cloud para la detección de amenazas

Antes de habilitar Splunk Cloud en Ransomware Resilience, deberá realizar los siguientes pasos de alto nivel en Splunk Cloud:

  • Habilite un recopilador de eventos HTTP en Splunk Cloud para recibir datos de eventos a través de HTTP o HTTPS desde la consola.

  • Cree un token de recopilador de eventos en Splunk Cloud.

Pasos para habilitar un recopilador de eventos HTTP en Splunk

  1. Vaya a Splunk Cloud.

  2. Seleccione Configuración > Entradas de datos.

  3. Seleccione Recopilador de eventos HTTP > Configuración global.

  4. En el interruptor Todos los tokens, seleccione Habilitado.

  5. Para que el Recopilador de eventos escuche y se comunique a través de HTTPS en lugar de HTTP, seleccione Habilitar SSL.

  6. Introduzca un puerto en Número de puerto HTTP para el recopilador de eventos HTTP.

Pasos para crear un token de recopilador de eventos en Splunk

  1. Vaya a Splunk Cloud.

  2. Seleccione Configuración > Agregar datos.

  3. Seleccione Monitor > Recopilador de eventos HTTP.

  4. Ingrese un nombre para el token y seleccione Siguiente.

  5. Seleccione un Índice predeterminado donde se enviarán los eventos y luego seleccione Revisar.

  6. Confirme que todas las configuraciones del punto final sean correctas y luego seleccione Enviar.

  7. Copie el token y péguelo en otro documento para tenerlo listo para el paso de autenticación.

Conecte SIEM en la resiliencia contra el ransomware

Al habilitar SIEM se envían datos de Ransomware Resilience a su servidor SIEM para análisis e informes de amenazas.

Pasos

  1. Desde el menú Consola, seleccione Protección > Resiliencia ante ransomware.

  2. En el menú Resiliencia contra ransomware, seleccione la verticalAcciones verticales …​opción en la parte superior derecha.

  3. Seleccione Configuración.

    Aparece la página de Configuración.

    Página de configuración

  4. En la página Configuración, seleccione Conectar en el mosaico de conexión SIEM.

    Habilitar la página de detalles de detección de amenazas

  5. Elija uno de los sistemas SIEM.

  6. Ingrese el token y los detalles de autenticación que configuró en AWS Security Hub o Splunk Cloud.

    Nota La información que ingrese dependerá del SIEM que haya seleccionado.

  7. Seleccione Habilitar.

    La página de Configuración muestra "Conectado".