Skip to main content
BlueXP ransomware protection
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare le impostazioni di protezione dal ransomware BlueXP

Collaboratori

È possibile configurare una destinazione di backup, abilitare il rilevamento delle minacce o configurare la connessione alla sicurezza del carico di lavoro di Data Infrastructure Insights accedendo all'opzione Impostazioni. L'attivazione del rilevamento delle minacce invia automaticamente i dati al sistema di gestione degli eventi e della sicurezza (SIEM) per l'analisi delle minacce.

Dalla pagina Impostazioni, è possibile effettuare le seguenti operazioni:

  • Configurare la connessione alla sicurezza del carico di lavoro di Data Infrastructure Insights per vedere le informazioni utente sospette negli avvisi ransomware.

  • Aggiungere una destinazione di backup.

  • Collega il tuo sistema di gestione degli eventi e della sicurezza (SIEM) per l'analisi e il rilevamento delle minacce.

Accedere direttamente alla pagina Impostazioni

È possibile accedere facilmente alla pagina Impostazioni dall'opzione azioni accanto al menu principale.

  1. Dal menu di protezione dal ransomware BlueXP, seleziona il menu Vertical (verticale) Azioni verticali…​ opzione in alto a destra.

  2. Dal menu a discesa, selezionare Impostazioni.

Connettersi alla sicurezza del carico di lavoro di Data Infrastructure Insights per vedere il comportamento anomalo degli utenti sospettati

Prima di poter visualizzare i dettagli del comportamento sospetto di un utente anomalo nella protezione ransomware BlueXP , devi configurare la connessione al sistema di sicurezza del workload di Data Infrastructure Insights.

Ottenere un token di accesso API dal sistema di sicurezza del workload Data Infrastructure Insights

Ottenere un token di accesso API dal sistema di sicurezza del workload Data Infrastructure Insights.

  1. Accedere al sistema di sicurezza del carico di lavoro Data Infrastructure Insights.

  2. Dal menu di navigazione a sinistra, selezionare Ammin > accesso API.

    Pagina di accesso API in Data Infrastructure Insights workload Security

  3. Creare un token di accesso API o utilizzarne uno esistente.

  4. Copiare il token di accesso API.

Connettersi alla sicurezza del carico di lavoro di Data Infrastructure Insights

  1. Dal menu Impostazioni protezione ransomware BlueXP , selezionare connessione sicurezza carico di lavoro.

  2. Selezionare Connect.

  3. Immettere l'URL per l'interfaccia utente di sicurezza del carico di lavoro dell'infrastruttura dati.

  4. Immettere il token di accesso API che fornisce l'accesso alla sicurezza del workload.

  5. Selezionare Connect.

Aggiungere una destinazione di backup

La protezione dal ransomware di BlueXP identifica i workload che non hanno ancora backup e anche quelli che non hanno ancora destinazioni di backup assegnate.

Per proteggere questi workload, è necessario aggiungere una destinazione di backup. È possibile scegliere una delle seguenti destinazioni di backup:

  • NetApp StorageGRID

  • Amazon Web Services (AWS)

  • Piattaforma Google Cloud

  • Microsoft Azure

È possibile aggiungere una destinazione di backup in base a un'azione consigliata dal Dashboard o accedendo all'opzione Impostazioni del menu.

Accedere alle opzioni destinazione backup dalle azioni consigliate del dashboard

Il Dashboard fornisce molti consigli. Si consiglia di configurare una destinazione di backup.

Fasi
  1. Dal menu di navigazione a sinistra di BlueXP, seleziona protezione > protezione dal ransomware.

  2. Esaminare il riquadro delle azioni consigliate del dashboard.

    Pagina del dashboard

  3. Dal dashboard, selezionare Rivedi e correggi per la raccomandazione "prepara <backup provider> come destinazione di backup".

  4. Continuare con le istruzioni a seconda del provider di backup.

Aggiungere StorageGRID come destinazione di backup

Per impostare NetApp StorageGRID come destinazione di backup, immettere le seguenti informazioni.

Fasi
  1. Nella pagina Impostazioni > Destinazioni di backup, selezionare Aggiungi.

  2. Immettere un nome per la destinazione di backup.

    Pagina destinazioni di backup

  3. Selezionare StorageGRID.

  4. Selezionare la freccia verso il basso accanto a ciascuna impostazione e immettere o selezionare i valori:

    • Impostazioni provider:

      • Creare un nuovo bucket o portare il proprio bucket che memorizzerà i backup.

      • Nodo gateway StorageGRID Nome di dominio, porta, chiave di accesso StorageGRID e credenziali chiave segreta completi.

    • Networking: Scegliere IPSpace.

      • IPSpace è il cluster in cui risiedono i volumi di cui si desidera eseguire il backup. Le LIF intercluster per questo IPSpace devono disporre di accesso a Internet in uscita.

  5. Selezionare Aggiungi.

Risultato

La nuova destinazione di backup viene aggiunta all'elenco delle destinazioni di backup.

Pagina destinazioni di backup opzione Impostazioni

Aggiungere Amazon Web Services come destinazione di backup

Per configurare AWS come destinazione di backup, immettere le seguenti informazioni.

Per informazioni sulla gestione dello storage AWS in BlueXP, fare riferimento a. "Gestisci i bucket Amazon S3".

Fasi
  1. Nella pagina Impostazioni > Destinazioni di backup, selezionare Aggiungi.

  2. Immettere un nome per la destinazione di backup.

    Pagina destinazioni di backup

  3. Selezionare Amazon Web Services.

  4. Selezionare la freccia verso il basso accanto a ciascuna impostazione e immettere o selezionare i valori:

    • Impostazioni provider:

    • Crittografia: Se si sta creando un nuovo bucket S3, immettere le informazioni sulla chiave di crittografia fornite dal provider. Se si sceglie un bucket esistente, le informazioni di crittografia sono già disponibili.

      I dati nel bucket sono criptati con chiavi gestite da AWS per impostazione predefinita. Puoi continuare a utilizzare le chiavi gestite da AWS oppure gestire la crittografia dei tuoi dati con le tue chiavi.

    • Rete: Scegliere IPSpace e se si utilizza un endpoint privato.

      • IPSpace è il cluster in cui risiedono i volumi di cui si desidera eseguire il backup. Le LIF intercluster per questo IPSpace devono disporre di accesso a Internet in uscita.

      • In alternativa, è possibile scegliere se utilizzare un endpoint privato AWS (PrivateLink) precedentemente configurato.

        Per utilizzare AWS PrivateLink, consultare la sezione "AWS PrivateLink per Amazon S3".

    • Blocco di backup: Scegliere se si desidera che il servizio protegga i backup dalla modifica o dall'eliminazione. Questa opzione utilizza la tecnologia DataLock di NetApp. Ciascun backup verrà bloccato durante il periodo di conservazione o per un minimo di 30 giorni, più un periodo di buffer massimo di 14 giorni.

      Avvertenza Se si configura ora l'impostazione del blocco di backup, non sarà possibile modificarla in un secondo momento dopo la configurazione della destinazione di backup.
      • Governance mode: Utenti specifici (con autorizzazione S3:BypassGovernanceRetention) possono sovrascrivere o eliminare i file protetti durante il periodo di conservazione.

      • Modalità conformità: Gli utenti non possono sovrascrivere o eliminare i file di backup protetti durante il periodo di conservazione.

  5. Selezionare Aggiungi.

Risultato

La nuova destinazione di backup viene aggiunta all'elenco delle destinazioni di backup.

Pagina destinazioni di backup opzione Impostazioni

Aggiungi Google Cloud Platform come destinazione di backup

Per configurare Google Cloud Platform (GCP) come destinazione di backup, inserisci le seguenti informazioni.

Per informazioni dettagliate sulla gestione dello storage GCP in BlueXP , fare riferimento alla "Opzioni di installazione del connettore in Google Cloud".

Fasi
  1. Nella pagina Impostazioni > Destinazioni di backup, selezionare Aggiungi.

  2. Immettere un nome per la destinazione di backup.

    Pagina destinazioni di backup

  3. Selezionare Google Cloud Platform.

  4. Selezionare la freccia verso il basso accanto a ciascuna impostazione e immettere o selezionare i valori:

    • Impostazioni provider:

      • Creare un nuovo bucket. Immettere la chiave di accesso e la chiave segreta.

      • Immettere o selezionare il progetto e la regione di Google Cloud Platform.

    • Crittografia: Se si sta creando un nuovo bucket, immettere le informazioni sulla chiave di crittografia fornite dal provider. Se si sceglie un bucket esistente, le informazioni di crittografia sono già disponibili.

      Per impostazione predefinita, i dati nel bucket sono crittografati con chiavi gestite da Google. È possibile continuare a utilizzare le chiavi gestite da Google.

    • Rete: Scegliere IPSpace e se si utilizza un endpoint privato.

      • IPSpace è il cluster in cui risiedono i volumi di cui si desidera eseguire il backup. Le LIF intercluster per questo IPSpace devono disporre di accesso a Internet in uscita.

      • In alternativa, è possibile scegliere se utilizzare un endpoint privato GCP (PrivateLink) precedentemente configurato.

  5. Selezionare Aggiungi.

Risultato

La nuova destinazione di backup viene aggiunta all'elenco delle destinazioni di backup.

Aggiungere Microsoft Azure come destinazione di backup

Per configurare Azure come destinazione di backup, immettere le seguenti informazioni.

Per informazioni sulla gestione delle credenziali di Azure e delle iscrizioni al marketplace in BlueXP, fare riferimento a. "Gestire le tue credenziali Azure e le iscrizioni al marketplace".

Fasi
  1. Nella pagina Impostazioni > Destinazioni di backup, selezionare Aggiungi.

  2. Immettere un nome per la destinazione di backup.

    Pagina destinazioni di backup

  3. Selezionare Azure.

  4. Selezionare la freccia verso il basso accanto a ciascuna impostazione e immettere o selezionare i valori:

    • Impostazioni provider:

    • Crittografia: Se si crea un nuovo account di archiviazione, immettere le informazioni sulla chiave di crittografia fornite dal provider. Se si sceglie un account esistente, le informazioni sulla crittografia sono già disponibili.

      Per impostazione predefinita, i dati dell'account sono crittografati con chiavi gestite da Microsoft. Puoi continuare a utilizzare le chiavi gestite da Microsoft o gestire la crittografia dei tuoi dati con le tue chiavi.

    • Rete: Scegliere IPSpace e se si utilizza un endpoint privato.

      • IPSpace è il cluster in cui risiedono i volumi di cui si desidera eseguire il backup. Le LIF intercluster per questo IPSpace devono disporre di accesso a Internet in uscita.

      • Facoltativamente, scegliere se utilizzare un endpoint privato Azure precedentemente configurato.

        Se si desidera utilizzare Azure PrivateLink, consultare la sezione "Azure PrivateLink".

  5. Selezionare Aggiungi.

Risultato

La nuova destinazione di backup viene aggiunta all'elenco delle destinazioni di backup.

Pagina destinazioni di backup opzione Impostazioni

Attivare il rilevamento delle minacce

Puoi inviare automaticamente i dati al tuo sistema di gestione degli eventi e della sicurezza (SIEM) per l'analisi e il rilevamento delle minacce. Puoi selezionare AWS Security Hub, Microsoft Sentinel o Splunk Cloud come tuo SIEM.

Prima di abilitare SIEM nella protezione dal ransomware BlueXP , devi configurare il tuo sistema SIEM.

Configurare AWS Security Hub per il rilevamento delle minacce

Prima di abilitare la protezione dal ransomware di AWS Security Hub in BlueXP , devi eseguire i seguenti passaggi generali nell'AWS Security Hub:

  • Impostare le autorizzazioni in AWS Security Hub.

  • Configurare la chiave di accesso e la chiave segreta di autenticazione nell'AWS Security Hub. (Questi passaggi non sono forniti qui).

Procedura per impostare le autorizzazioni in AWS Security Hub
  1. Vai a Console IAM AWS.

  2. Selezionare Criteri.

  3. Creare un criterio utilizzando il seguente codice in formato JSON:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "NetAppSecurityHubFindings",
          "Effect": "Allow",
          "Action": [
            "securityhub:BatchImportFindings",
            "securityhub:BatchUpdateFindings"
          ],
          "Resource": [
            "arn:aws:securityhub:*:*:product/*/default",
            "arn:aws:securityhub:*:*:hub/default"
          ]
        }
      ]
    }

Configurare Microsoft Sentinel per il rilevamento delle minacce

Prima di abilitare Microsoft Sentinel nella protezione anti-ransomware BlueXP , è necessario eseguire i seguenti passaggi di alto livello in Microsoft Sentinel:

  • Prerequisiti

    • Attivare Microsoft Sentinel.

    • Creare un ruolo personalizzato in Microsoft Sentinel.

  • Registrazione

    • Registra la protezione ransomware BlueXP  per ricevere eventi da Microsoft Sentinel.

    • Creare un segreto per la registrazione.

  • Permissions: Consente di assegnare autorizzazioni all'applicazione.

  • Autenticazione: Immettere le credenziali di autenticazione per l'applicazione.

Procedura per l'attivazione di Microsoft Sentinel
  1. Accedere a Microsoft Sentinel.

  2. Creare un'area di lavoro Log Analytics.

  3. Abilitare Microsoft Sentinel a utilizzare lo spazio di lavoro Log Analytics appena creato.

Procedura per creare un ruolo personalizzato in Microsoft Sentinel
  1. Accedere a Microsoft Sentinel.

  2. Selezionare sottoscrizione > controllo accesso (IAM).

  3. Immettere un nome di ruolo personalizzato. Utilizzate il nome BlueXP  ransomware Protection Sentinel Configurator.

  4. Copiare il seguente JSON e incollarlo nella scheda JSON.

    {
      "roleName": "BlueXP Ransomware Protection Sentinel Configurator",
      "description": "",
      "assignableScopes":["/subscriptions/{subscription_id}"],
      "permissions": [
    
      ]
    }
  5. Rivedere e salvare le impostazioni.

Passaggi per registrare la protezione ransomware BlueXP  per ricevere eventi da Microsoft Sentinel
  1. Accedere a Microsoft Sentinel.

  2. Selezionare Entra ID > applicazioni > registrazioni app.

  3. Per Nome visualizzato dell'applicazione, immettere "BlueXP  ransomware Protection".

  4. Nel campo tipo di account supportato, selezionare account solo in questa directory organizzativa.

  5. Selezionare un Indice predefinito in cui verranno inviati gli eventi.

  6. Selezionare Revisione.

  7. Selezionare Registra per salvare le impostazioni.

    Dopo la registrazione, il centro di amministrazione di Microsoft Entra visualizza il riquadro Panoramica dell'applicazione.

Procedura per creare un segreto per la registrazione
  1. Accedere a Microsoft Sentinel.

  2. Selezionare certificati e segreti > segreti client > nuovo segreto client.

  3. Aggiungere una descrizione per la password dell'applicazione.

  4. Selezionare una scadenza per il segreto o specificare una durata personalizzata.

    Suggerimento La durata del segreto del cliente è limitata a due anni (24 mesi) o meno. Microsoft consiglia di impostare un valore di scadenza inferiore a 12 mesi.
  5. Selezionare Aggiungi per creare la propria password.

  6. Registrare il segreto da utilizzare nella fase di autenticazione. Il segreto non viene mai più visualizzato dopo aver lasciato questa pagina.

Procedura per assegnare autorizzazioni all'applicazione
  1. Accedere a Microsoft Sentinel.

  2. Selezionare sottoscrizione > controllo accesso (IAM).

  3. Selezionare Aggiungi > Aggiungi assegnazione ruolo.

  4. Per il campo ruoli di amministratore con privilegi, selezionare configuratore Sentinel protezione ransomware BlueXP .

    Suggerimento Questo è il ruolo personalizzato creato in precedenza.
  5. Selezionare Avanti.

  6. Nel campo Assegna accesso a, selezionare utente, gruppo o principale servizio.

  7. Selezionare Seleziona membri. Quindi, selezionare BlueXP  - configuratore di Sentinel per la protezione dal ransomware.

  8. Selezionare Avanti.

  9. Nel campo cosa può fare l'utente, selezionare Consenti all'utente di assegnare tutti i ruoli tranne i ruoli di amministratore con privilegi Proprietario, UAA, RBAC (consigliato).

  10. Selezionare Avanti.

  11. Selezionare Rivedi e assegna per assegnare le autorizzazioni.

Procedura per l'immissione delle credenziali di autenticazione per l'applicazione
  1. Accedere a Microsoft Sentinel.

  2. Immettere le credenziali:

    1. Immettere l'ID tenant, l'ID dell'applicazione client e il segreto dell'applicazione client.

    2. Fare clic su Authenticate.

      Nota Una volta completata l'autenticazione, viene visualizzato il messaggio "autenticato".
  3. Immettere i dettagli dell'area di lavoro Log Analytics per l'applicazione.

    1. Selezionare l'ID della sottoscrizione, il gruppo di risorse e l'area di lavoro analisi registro.

Configura Splunk Cloud per il rilevamento delle minacce

Prima di abilitare la protezione dal ransomware Splunk Cloud in BlueXP , dovrai eseguire le seguenti operazioni di alto livello in Splunk Cloud:

  • Abilitare un servizio di raccolta eventi HTTP in Splunk Cloud per ricevere dati degli eventi tramite HTTP o HTTPS da BlueXP .

  • Creare un token di raccolta eventi in Splunk Cloud.

Procedura per attivare un agente di raccolta eventi HTTP in Splunk
  1. Vai a Splunk Cloud.

  2. Selezionare Impostazioni > ingressi dati.

  3. Selezionare HTTP Event Collector > Impostazioni globali.

  4. Nell'interruttore tutti i token, selezionare abilitato.

  5. Per fare in modo che Event Collector ascolti e comunichi su HTTPS piuttosto che su HTTP, selezionare Abilita SSL.

  6. Immettere una porta in numero porta HTTP per il modulo di raccolta eventi HTTP.

Procedura per creare un token di raccolta eventi in Splunk
  1. Vai a Splunk Cloud.

  2. Selezionare Impostazioni > Aggiungi dati.

  3. Selezionare Monitor > HTTP Event Collector.

  4. Immettere un nome per il token e selezionare Avanti.

  5. Selezionare un Indice predefinito in cui verranno inviati gli eventi, quindi selezionare Rivedi.

  6. Verificare che tutte le impostazioni per l'endpoint siano corrette, quindi selezionare Invia.

  7. Copiare il token e incollarlo in un altro documento per prepararlo all'operazione di autenticazione.

Connetti SIEM alla protezione dal ransomware BlueXP 

Attivando SIEM, i dati dalla protezione anti-ransomware BlueXP  vengono inviati al server SIEM per l'analisi e il reporting delle minacce.

Fasi
  1. Dal menu BlueXP , seleziona protezione > protezione anti-ransomware.

  2. Dal menu di protezione dal ransomware BlueXP, seleziona il menu Vertical (verticale) Azioni verticali…​ opzione in alto a destra.

  3. Selezionare Impostazioni.

    Viene visualizzata la pagina Impostazioni.

    Pagina delle impostazioni

  4. Nella pagina Impostazioni, selezionare Connetti nel riquadro connessione SIEM.

    Abilita pagina dettagli rilevamento minacce

  5. Scegliere uno dei sistemi SIEM.

  6. Inserisci il token e i dettagli di autenticazione configurati in AWS Security Hub o Splunk Cloud.

    Nota Le informazioni immesse dipendono dal SIEM selezionato.
  7. Selezionare Abilita.

    Nella pagina Impostazioni viene visualizzato "connesso".