Configurez les paramètres de protection contre les ransomwares BlueXP
Vous pouvez configurer une destination de sauvegarde, activer la détection des menaces ou configurer la connexion à Data Infrastructure Insights Workload Security en accédant à l'option Settings. L'activation de la détection des menaces envoie automatiquement des données à votre système de gestion de la sécurité et des événements (SIEM) à des fins d'analyse des menaces.
À partir de la page Paramètres, vous pouvez effectuer les opérations suivantes :
-
Configurez la connexion au système de sécurité des workloads Data Infrastructure Insights pour voir les informations concernant les utilisateurs suspects dans des alertes de ransomware.
-
Ajouter une destination de sauvegarde.
-
Connectez votre système de gestion de la sécurité et des événements (SIEM) pour l'analyse et la détection des menaces.
Accédez directement à la page Paramètres
Vous pouvez facilement accéder à la page Paramètres à partir de l'option actions située près du menu supérieur.
-
Dans le menu BlueXP ransomware protection, sélectionnez le vertical … option en haut à droite.
-
Dans le menu déroulant, sélectionnez Paramètres.
Connectez-vous à la sécurité des workloads Data Infrastructure Insights pour détecter les comportements anormaux des utilisateurs
Avant d'afficher les détails des comportements anormaux des utilisateurs suspectés dans la protection contre les ransomwares BlueXP , vous devez configurer la connexion au système de sécurité des workloads NetApp Data Infrastructure Insights.
Obtenez un jeton d'accès aux API depuis le système de sécurité de la charge de travail Data Infrastructure Insights
Obtenez un jeton d'accès aux API depuis le système de sécurité de la charge de travail Data Infrastructure Insights.
-
Connectez-vous au système de sécurité de la charge de travail Data Infrastructure Insights.
-
Dans le menu de navigation de gauche, sélectionnez Admin > API Access.
-
Créez un jeton d'accès API ou utilisez un jeton existant.
-
Copiez le jeton d'accès à l'API.
Connectez-vous à Data Infrastructure Insights Workload Security
-
Dans le menu BlueXP ransomware protection Settings, sélectionnez Workload Security connection.
-
Sélectionnez connexion.
-
Entrez l'URL de l'interface utilisateur Data Infrastructure Workload Security.
-
Entrez le jeton d'accès à l'API qui permet l'accès à la sécurité de la charge de travail.
-
Sélectionnez connexion.
Ajouter une destination de sauvegarde
La protection contre les ransomwares BlueXP permet d'identifier les workloads qui ne disposent pas encore de sauvegardes, ainsi que les workloads pour lesquels aucune destination de sauvegarde n'est attribuée.
Pour protéger ces charges de travail, vous devez ajouter une destination de sauvegarde. Vous pouvez choisir l'une des destinations de sauvegarde suivantes :
-
NetApp StorageGRID
-
Services Web Amazon (AWS)
-
Google Cloud Platform
-
Microsoft Azure
Vous pouvez ajouter une destination de sauvegarde en fonction d'une action recommandée à partir du tableau de bord ou en accédant à l'option Paramètres du menu.
Accédez aux options de destination de sauvegarde à partir des actions recommandées du tableau de bord
Le tableau de bord fournit de nombreuses recommandations. Il peut être recommandé de configurer une destination de sauvegarde.
-
Dans le menu de navigation de gauche de BlueXP, sélectionnez protection > protection contre les ransomware.
-
Vérifiez le volet actions recommandées du tableau de bord.
-
Dans le tableau de bord, sélectionnez revoir et corriger pour la recommandation de « préparer <backup provider> comme destination de sauvegarde ».
-
Suivez les instructions en fonction du fournisseur de sauvegarde.
Ajouter StorageGRID comme destination de sauvegarde
Pour configurer NetApp StorageGRID comme destination de sauvegarde, entrez les informations suivantes.
-
Sur la page Paramètres > destinations de sauvegarde, sélectionnez Ajouter.
-
Entrez un nom pour la destination de sauvegarde.
-
Sélectionnez StorageGRID.
-
Sélectionnez la flèche vers le bas en regard de chaque paramètre et entrez ou sélectionnez des valeurs :
-
Paramètres du fournisseur :
-
Créez un nouveau compartiment ou utilisez votre propre compartiment pour stocker les sauvegardes.
-
Nœud de passerelle StorageGRID Nom de domaine complet, port, clé d'accès StorageGRID et informations d'identification de clé secrète.
-
-
Mise en réseau : choisissez l'IPspace.
-
L'IPspace est le cluster où résident les volumes à sauvegarder. Les LIF intercluster pour cet IPspace doivent avoir un accès Internet sortant.
-
-
-
Sélectionnez Ajouter.
La nouvelle destination de sauvegarde est ajoutée à la liste des destinations de sauvegarde.
Ajoutez Amazon Web Services comme destination de sauvegarde
Pour configurer AWS en tant que destination de sauvegarde, entrez les informations suivantes.
Pour en savoir plus sur la gestion de votre stockage AWS dans BlueXP, consultez la section "Gestion de vos compartiments Amazon S3".
-
Sur la page Paramètres > destinations de sauvegarde, sélectionnez Ajouter.
-
Entrez un nom pour la destination de sauvegarde.
-
Sélectionnez Amazon Web Services.
-
Sélectionnez la flèche vers le bas en regard de chaque paramètre et entrez ou sélectionnez des valeurs :
-
Paramètres du fournisseur :
-
Créez un nouveau compartiment, sélectionnez un compartiment existant s'il en existe déjà dans BlueXP, ou utilisez votre propre compartiment pour stocker les sauvegardes.
-
Compte AWS, région, clé d'accès et clé secrète pour les identifiants AWS
-
-
Encryption : si vous créez un nouveau compartiment S3, entrez les informations de clé de chiffrement qui vous ont été fournies par le fournisseur. Si vous avez choisi un compartiment existant, les informations de chiffrement sont déjà disponibles.
Les données qui se trouvent dans le compartiment sont chiffrées avec des clés gérées par AWS par défaut. Vous pouvez continuer à utiliser des clés gérées par AWS ou gérer le chiffrement de vos données à l'aide de vos propres clés.
-
Mise en réseau : choisissez l'IPspace et si vous allez utiliser un terminal privé.
-
L'IPspace est le cluster où résident les volumes à sauvegarder. Les LIF intercluster pour cet IPspace doivent avoir un accès Internet sortant.
-
Vous pouvez également choisir d'utiliser un terminal privé AWS (PrivateLink) que vous avez configuré précédemment.
Pour utiliser AWS PrivateLink, reportez-vous à la section "AWS PrivateLink pour Amazon S3".
-
-
Verrou de sauvegarde : choisissez si vous souhaitez que le service protège les sauvegardes contre la modification ou la suppression. Cette option utilise la technologie NetApp DataLock. Chaque sauvegarde sera verrouillée pendant la période de conservation, ou pendant un minimum de 30 jours, plus une période tampon de 14 jours maximum.
Si vous configurez le paramètre de verrouillage de sauvegarde maintenant, vous ne pouvez pas le modifier ultérieurement après la configuration de la destination de sauvegarde. -
Mode gouvernance : des utilisateurs spécifiques (avec l'autorisation s3:BypassGovernanceRetention) peuvent écraser ou supprimer des fichiers protégés pendant la période de conservation.
-
Mode de conformité : les utilisateurs ne peuvent pas écraser ou supprimer les fichiers de sauvegarde protégés pendant la période de conservation.
-
-
-
Sélectionnez Ajouter.
La nouvelle destination de sauvegarde est ajoutée à la liste des destinations de sauvegarde.
Ajoutez Google Cloud Platform comme destination de sauvegarde
Pour configurer Google Cloud Platform (GCP) en tant que destination de sauvegarde, entrez les informations suivantes.
Pour plus d'informations sur la gestion du stockage GCP dans BlueXP , reportez-vous à "Options d'installation de Connector dans Google Cloud"la section .
-
Sur la page Paramètres > destinations de sauvegarde, sélectionnez Ajouter.
-
Entrez un nom pour la destination de sauvegarde.
-
Sélectionnez Google Cloud Platform.
-
Sélectionnez la flèche vers le bas en regard de chaque paramètre et entrez ou sélectionnez des valeurs :
-
Paramètres du fournisseur :
-
Créer un nouveau compartiment. Entrez la clé d'accès et la clé secrète.
-
Entrez ou sélectionnez votre projet et votre région Google Cloud Platform.
-
-
Chiffrement : si vous créez un nouveau compartiment, entrez les informations de clé de chiffrement qui vous ont été fournies par le fournisseur. Si vous avez choisi un compartiment existant, les informations de chiffrement sont déjà disponibles.
Les données du compartiment sont chiffrées avec des clés gérées par Google. Vous pouvez continuer à utiliser les clés gérées par Google.
-
Mise en réseau : choisissez l'IPspace et si vous allez utiliser un terminal privé.
-
L'IPspace est le cluster où résident les volumes à sauvegarder. Les LIF intercluster pour cet IPspace doivent avoir un accès Internet sortant.
-
Vous pouvez également choisir d'utiliser un terminal privé GCP (PrivateLink) que vous avez configuré précédemment.
-
-
-
Sélectionnez Ajouter.
La nouvelle destination de sauvegarde est ajoutée à la liste des destinations de sauvegarde.
Ajoutez Microsoft Azure comme destination de sauvegarde
Pour configurer Azure en tant que destination de sauvegarde, entrez les informations suivantes.
Pour en savoir plus sur la gestion de vos identifiants Azure et de vos abonnements Marketplace dans BlueXP, reportez-vous à la section "Gestion de vos identifiants Azure et de vos abonnements Marketplace".
-
Sur la page Paramètres > destinations de sauvegarde, sélectionnez Ajouter.
-
Entrez un nom pour la destination de sauvegarde.
-
Sélectionnez Azure.
-
Sélectionnez la flèche vers le bas en regard de chaque paramètre et entrez ou sélectionnez des valeurs :
-
Paramètres du fournisseur :
-
Créez un nouveau compte de stockage, sélectionnez un compte existant s'il en existe déjà dans BlueXP ou utilisez votre propre compte de stockage pour stocker les sauvegardes.
-
Abonnement Azure, région et groupe de ressources pour les informations d'identification Azure
-
-
Cryptage : si vous créez un nouveau compte de stockage, entrez les informations de clé de cryptage qui vous ont été fournies par le fournisseur. Si vous avez choisi un compte existant, les informations de chiffrement sont déjà disponibles.
Les données du compte sont chiffrées avec des clés gérées par Microsoft par défaut. Vous pouvez continuer à utiliser des clés gérées par Microsoft ou gérer le chiffrement de vos données à l'aide de vos propres clés.
-
Mise en réseau : choisissez l'IPspace et si vous allez utiliser un terminal privé.
-
L'IPspace est le cluster où résident les volumes à sauvegarder. Les LIF intercluster pour cet IPspace doivent avoir un accès Internet sortant.
-
Si vous le souhaitez, vous pouvez également choisir d'utiliser un terminal privé Azure que vous avez précédemment configuré.
Pour utiliser Azure PrivateLink, reportez-vous à la section "Azure PrivateLink".
-
-
-
Sélectionnez Ajouter.
La nouvelle destination de sauvegarde est ajoutée à la liste des destinations de sauvegarde.
Activer la détection des menaces
Vous pouvez envoyer automatiquement des données à votre système de gestion de la sécurité et des événements (SIEM) à des fins d'analyse et de détection des menaces. Vous pouvez sélectionner AWS Security Hub, Microsoft Sentinel ou Splunk Cloud en tant que système SIEM.
Avant d'activer le système SIEM dans la protection anti-ransomware BlueXP , vous devez configurer votre système SIEM.
Configurez AWS Security Hub pour la détection des menaces
Avant d'activer AWS Security Hub dans la protection contre les ransomwares BlueXP , vous devez effectuer les étapes générales suivantes dans AWS Security Hub :
-
Configurez les autorisations dans AWS Security Hub.
-
Configurez la clé d'accès d'authentification et la clé secrète dans AWS Security Hub. (Ces étapes ne sont pas fournies ici.)
-
Aller à AWS IAM console.
-
Sélectionnez politiques.
-
Créez une règle en utilisant le code suivant au format JSON :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NetAppSecurityHubFindings", "Effect": "Allow", "Action": [ "securityhub:BatchImportFindings", "securityhub:BatchUpdateFindings" ], "Resource": [ "arn:aws:securityhub:*:*:product/*/default", "arn:aws:securityhub:*:*:hub/default" ] } ] }
Configurez Microsoft Sentinel pour la détection des menaces
Avant d'activer Microsoft Sentinel dans la protection contre les ransomwares BlueXP , vous devez effectuer les étapes générales suivantes dans Microsoft Sentinel :
-
* Conditions préalables*
-
Activez Microsoft Sentinel.
-
Créez un rôle personnalisé dans Microsoft Sentinel.
-
-
Enregistrement
-
Enregistrez la protection contre les ransomwares BlueXP pour recevoir des événements de Microsoft Sentinel.
-
Créez un secret pour l'enregistrement.
-
-
Autorisations : attribuez des autorisations à l'application.
-
Authentification : saisissez les informations d'authentification de l'application.
-
Rendez-vous sur Microsoft Sentinel.
-
Créez un espace de travail Log Analytics.
-
Activez Microsoft Sentinel pour utiliser l'espace de travail Log Analytics que vous venez de créer.
-
Rendez-vous sur Microsoft Sentinel.
-
Sélectionnez abonnement > contrôle d'accès (IAM).
-
Entrez un nom de rôle personnalisé. Utilisez le nom BlueXP ransomware protection Sentinel Configurator.
-
Copiez le fichier JSON suivant et collez-le dans l'onglet JSON.
{ "roleName": "BlueXP Ransomware Protection Sentinel Configurator", "description": "", "assignableScopes":["/subscriptions/{subscription_id}"], "permissions": [ ] }
-
Vérifiez et enregistrez vos paramètres.
-
Rendez-vous sur Microsoft Sentinel.
-
Sélectionnez Entra ID > applications > enregistrements d'applications.
-
Pour le Nom d'affichage de l'application, entrez "BlueXP ransomware protection".
-
Dans le champ type de compte pris en charge, sélectionnez comptes dans ce répertoire organisationnel uniquement.
-
Sélectionnez un Index par défaut dans lequel les événements seront poussés.
-
Sélectionnez Revue.
-
Sélectionnez Enregistrer pour enregistrer vos paramètres.
Après l'enregistrement, le centre d'administration Microsoft Entra affiche le volet Présentation de l'application.
-
Rendez-vous sur Microsoft Sentinel.
-
Sélectionnez certificats et secrets > secrets clients > Nouveau secret client.
-
Ajoutez une description pour le secret de votre application.
-
Sélectionnez un expiration pour le secret ou spécifiez une durée de vie personnalisée.
La durée de vie d'un secret client est limitée à deux ans (24 mois) ou moins. Microsoft vous recommande de définir une valeur d'expiration inférieure à 12 mois. -
Sélectionnez Ajouter pour créer votre secret.
-
Enregistrez le secret à utiliser à l'étape authentification. Le secret n'est plus affiché après avoir quitté cette page.
-
Rendez-vous sur Microsoft Sentinel.
-
Sélectionnez abonnement > contrôle d'accès (IAM).
-
Sélectionnez Ajouter > Ajouter une affectation de rôle.
-
Pour le champ Privileged Administrator roles, sélectionnez BlueXP ransomware protection Sentinel Configurator.
Il s'agit du rôle personnalisé que vous avez créé précédemment. -
Sélectionnez Suivant.
-
Dans le champ affecter un accès à, sélectionnez utilisateur, groupe ou principal de service.
-
Sélectionnez Sélectionner membres. Ensuite, sélectionnez BlueXP ransomware protection Sentinel Configurator.
-
Sélectionnez Suivant.
-
Dans le champ que peut faire l'utilisateur feld, sélectionnez Autoriser l'utilisateur à attribuer tous les rôles à l'exception des rôles d'administrateur privilégié propriétaire, UAA, RBAC (recommandé).
-
Sélectionnez Suivant.
-
Sélectionnez consulter et affecter pour attribuer les autorisations.
-
Rendez-vous sur Microsoft Sentinel.
-
Entrez les informations d'identification :
-
Entrez l'ID du locataire, l'ID de l'application client et le secret de l'application client.
-
Cliquez sur authentifier.
Une fois l'authentification réussie, un message « authentifié » s'affiche.
-
-
Entrez les détails de l'espace de travail Log Analytics de l'application.
-
Sélectionnez l'ID d'abonnement, le groupe de ressources et l'espace de travail Log Analytics.
-
Configurez Splunk Cloud pour la détection des menaces
Avant d'activer la solution de protection contre les ransomwares BlueXP pour Splunk Cloud, vous devez effectuer les étapes générales suivantes :
-
Activez un collecteur d'événements HTTP dans Splunk Cloud pour recevoir des données d'événements via HTTP ou HTTPS depuis BlueXP .
-
Créez un jeton Event Collector dans Splunk Cloud.
-
Choisissez Splunk Cloud.
-
Sélectionnez Paramètres > entrées de données.
-
Sélectionnez HTTP Event Collector > Global Settings.
-
Sur le commutateur tous les tokens, sélectionnez activé.
-
Pour que le collecteur d'événements écoute et communique via HTTPS plutôt que HTTP, sélectionnez Activer SSL.
-
Entrez un port dans HTTP Port Number pour le collecteur d'événements HTTP.
-
Choisissez Splunk Cloud.
-
Sélectionnez Paramètres > Ajouter des données.
-
Sélectionnez Monitor > HTTP Event Collector.
-
Entrez un Nom pour le jeton et sélectionnez Suivant.
-
Sélectionnez un Index par défaut dans lequel les événements seront poussés, puis sélectionnez Review.
-
Vérifiez que tous les paramètres du noeud final sont corrects, puis sélectionnez soumettre.
-
Copiez le token et collez-le dans un autre document pour le préparer à l'étape authentification.
Connectez SIEM à la solution de protection contre les ransomwares BlueXP
L'activation du système SIEM envoie les données de la protection contre les ransomwares BlueXP à votre serveur SIEM à des fins d'analyse et de reporting des menaces.
-
Dans le menu BlueXP , sélectionnez protection > protection contre les ransomware.
-
Dans le menu BlueXP ransomware protection, sélectionnez le vertical … option en haut à droite.
-
Sélectionnez Paramètres.
La page Paramètres s'affiche.
-
Dans la page Paramètres, sélectionnez connexion dans la mosaïque de connexion SIEM.
-
Choisissez l'un des systèmes SIEM.
-
Entrez le jeton et les informations d'authentification que vous avez configurés dans AWS Security Hub ou Splunk Cloud.
Les informations que vous saisissez dépendent du SIEM sélectionné. -
Sélectionnez Activer.
La page Paramètres affiche « connecté ».