Skip to main content
NetApp Ransomware Resilience
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Connectez NetApp Ransomware Resilience au système de gestion des informations et des événements de sécurité (SIEM) pour l'analyse et la détection des menaces

Contributeurs netapp-ahibbard
PDF

Un système de gestion des événements et de la sécurité (SIEM) centralise les journaux et les données d'événements afin de fournir des informations sur les incidents de sécurité et la conformité. NetApp Ransomware Resilience prend en charge l'envoi automatique des données à votre SIEM pour une analyse et une détection des menaces simplifiées.

Ransomware Resilience prend en charge les SIEM suivants :

  • AWS Security Hub

  • Microsoft Sentinel

  • Splunk Cloud

Avant d'activer SIEM dans Ransomware Resilience, vous devez configurer votre système SIEM.

Données d'événements envoyées à un SIEM

Ransomware Resilience peut envoyer les données d’événement suivantes à votre système SIEM :

  • contexte:

    • os: Il s'agit d'une constante avec la valeur ONTAP.

    • os_version : la version d' ONTAP exécutée sur le système.

    • connector_id : l'ID de l'agent de console qui gère le système.

    • cluster_id : l'ID de cluster signalé par ONTAP pour le système.

    • svm_name : Le nom du SVM où l'alerte a été trouvée.

    • volume_name : Le nom du volume sur lequel l'alerte est trouvée.

    • volume_id : l'ID du volume signalé par ONTAP pour le système.

  • incident:

    • incident_id : l'ID d'incident généré par Ransomware Resilience pour le volume attaqué dans Ransomware Resilience.

    • alert_id : l'ID généré par Ransomware Resilience pour la charge de travail.

    • gravité : L'un des niveaux d'alerte suivants : « CRITIQUE », « ÉLEVÉ », « MOYEN », « FAIBLE ».

    • description : Détails sur l'alerte détectée, par exemple : « Une attaque potentielle de rançongiciel détectée sur la charge de travail arp_learning_mode_test_2630 »

Configurer AWS Security Hub pour la détection des menaces

Avant d'activer AWS Security Hub dans NetApp Ransomware Resilience, vous devez effectuer les étapes générales suivantes dans AWS Security Hub :

  • Configurez les autorisations dans AWS Security Hub.

  • Configurez la clé d’accès d’authentification et la clé secrète dans AWS Security Hub. (Ces étapes ne sont pas fournies ici.)

Étapes pour configurer les autorisations dans AWS Security Hub

  1. Accédez à la console AWS IAM.

  2. Sélectionnez Politiques.

  3. Créez une politique à l’aide du code suivant au format JSON :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

Configurer Microsoft Sentinel pour la détection des menaces

Avant d'activer Microsoft Sentinel dans NetApp Ransomware Resilience, vous devez effectuer les étapes générales suivantes dans Microsoft Sentinel :

  • Prérequis

    • Activer Microsoft Sentinel.

    • Créez un rôle personnalisé dans Microsoft Sentinel.

  • Inscription

    • Inscrivez-vous à Ransomware Resilience pour recevoir des événements de Microsoft Sentinel.

    • Créez un secret pour l'inscription.

  • Autorisations : Attribuer des autorisations à l'application.

  • Authentification : Saisissez les informations d'authentification pour l'application.

Étapes pour activer Microsoft Sentinel

  1. Accédez à Microsoft Sentinel.

  2. Créez un espace de travail Log Analytics.

  3. Autorisez Microsoft Sentinel à utiliser l’espace de travail Log Analytics que vous venez de créer.

Étapes pour créer un rôle personnalisé dans Microsoft Sentinel

  1. Accédez à Microsoft Sentinel.

  2. Sélectionnez Abonnement > Contrôle d'accès (IAM).

  3. Saisissez un nom de rôle personnalisé. Utilisez le nom Ransomware Resilience Sentinel Configurator.

  4. Copiez le JSON suivant et collez-le dans l'onglet JSON.

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. Vérifiez et enregistrez vos paramètres.

Étapes pour enregistrer Ransomware Resilience afin de recevoir les événements de Microsoft Sentinel

  1. Accédez à Microsoft Sentinel.

  2. Sélectionnez Entra ID > Applications > Enregistrements d'applications.

  3. Pour le Nom d'affichage de l'application, saisissez « Ransomware Resilience ».

  4. Dans le champ Type de compte pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

  5. Sélectionnez un index par défaut où les événements seront poussés.

  6. Sélectionnez Révision.

  7. Sélectionnez Enregistrer pour enregistrer vos paramètres.

    Après l’enregistrement, le centre d’administration Microsoft Entra affiche le volet Présentation de l’application.

Étapes pour créer un secret pour l'enregistrement

  1. Accédez à Microsoft Sentinel.

  2. Sélectionnez Certificats et secrets > Secrets client > Nouveau secret client.

  3. Ajoutez une description pour le secret de votre application.

  4. Sélectionnez une Expiration pour le secret ou spécifiez une durée de vie personnalisée.

    Astuce La durée de vie d'un secret client est limitée à deux ans (24 mois) ou moins. Microsoft vous recommande de définir une valeur d’expiration inférieure à 12 mois.

  5. Sélectionnez Ajouter pour créer votre secret.

  6. Enregistrez le secret à utiliser dans l’étape d’authentification. Le secret ne s'affiche plus jamais après avoir quitté cette page.

Étapes pour attribuer des autorisations à l'application

  1. Accédez à Microsoft Sentinel.

  2. Sélectionnez Abonnement > Contrôle d'accès (IAM).

  3. Sélectionnez Ajouter > Ajouter une attribution de rôle.

  4. Pour le champ Rôles d'administrateur privilégiés, sélectionnez Ransomware Resilience Sentinel Configurator.

    Astuce Il s’agit du rôle personnalisé que vous avez créé précédemment.

  5. Sélectionnez Suivant.

  6. Dans le champ Attribuer l'accès à, sélectionnez Utilisateur, groupe ou principal de service.

  7. Sélectionnez Sélectionner les membres. Ensuite, sélectionnez Ransomware Resilience Sentinel Configurator.

  8. Sélectionnez Suivant.

  9. Dans le champ Ce que l'utilisateur peut faire, sélectionnez Autoriser l'utilisateur à attribuer tous les rôles à l'exception des rôles d'administrateur privilégié Propriétaire, UAA, RBAC (recommandé).

  10. Sélectionnez Suivant.

  11. Sélectionnez Réviser et attribuer pour attribuer les autorisations.

Étapes pour saisir les informations d'authentification pour l'application

  1. Accédez à Microsoft Sentinel.

  2. Entrez les informations d'identification :

    1. Saisissez l’ID du locataire, l’ID de l’application cliente et le secret de l’application cliente.

    2. Sélectionnez Authenticate.

      Remarque Une fois l'authentification réussie, un message « Authentifié » s'affiche.

  3. Saisissez les détails de l’espace de travail Log Analytics pour l’application.

    1. Sélectionnez l’ID d’abonnement, le groupe de ressources et l’espace de travail Log Analytics.

Configurer Splunk Cloud pour la détection des menaces

Avant d'activer Splunk Cloud dans Ransomware Resilience, vous devez effectuer les étapes de haut niveau suivantes dans Splunk Cloud :

  • Activez un collecteur d’événements HTTP dans Splunk Cloud pour recevoir des données d’événement via HTTP ou HTTPS à partir de la console.

  • Créez un jeton de collecteur d’événements dans Splunk Cloud.

Étapes pour activer un collecteur d'événements HTTP dans Splunk

  1. Accédez à Splunk Cloud.

  2. Sélectionnez Paramètres > Entrées de données.

  3. Sélectionnez Collecteur d’événements HTTP > Paramètres globaux.

  4. Sur le bouton bascule Tous les jetons, sélectionnez Activé.

  5. Pour que le collecteur d'événements écoute et communique via HTTPS plutôt que HTTP, sélectionnez Activer SSL.

  6. Saisissez un port dans Numéro de port HTTP pour le collecteur d'événements HTTP.

Étapes pour créer un jeton de collecteur d'événements dans Splunk

  1. Accédez à Splunk Cloud.

  2. Sélectionnez Paramètres > Ajouter des données.

  3. Sélectionnez Moniteur > Collecteur d'événements HTTP.

  4. Saisissez un nom pour le jeton et sélectionnez Suivant.

  5. Sélectionnez un Index par défaut où les événements seront poussés, puis sélectionnez Réviser.

  6. Confirmez que tous les paramètres du point de terminaison sont corrects, puis sélectionnez Soumettre.

  7. Copiez le jeton et collez-le dans un autre document pour le préparer pour l’étape d’authentification.

Connecter SIEM dans Ransomware Resilience

L'activation de SIEM envoie les données de Ransomware Resilience à votre serveur SIEM pour l'analyse des menaces et la création de rapports.

Étapes

  1. Dans le menu de la console, sélectionnez Protection > Résilience aux ransomwares.

  2. Dans le menu Résilience aux ransomwares, sélectionnez la verticaleActions verticales …​ option en haut à droite.

  3. Sélectionnez Paramètres.

    La page Paramètres apparaît.

    Page des paramètres

  4. Dans la page Paramètres, sélectionnez Connecter dans la mosaïque de connexion SIEM.

    Activer la page de détails de détection des menaces

  5. Choisissez l’un des systèmes SIEM.

  6. Saisissez le jeton et les détails d’authentification que vous avez configurés dans AWS Security Hub ou Splunk Cloud.

    Remarque Les informations que vous saisissez dépendent du SIEM que vous avez sélectionné.

  7. Sélectionnez Activer.

    La page Paramètres affiche « Connecté ».