Skip to main content
BlueXP ransomware protection
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare le impostazioni di protezione dal ransomware BlueXP

Collaboratori amgrissino
PDF

È possibile configurare destinazioni di backup, inviare dati a un sistema SIEM (sicurezza e gestione eventi) esterno, eseguire un'esercitazione di preparazione agli attacchi, configurare l'individuazione del carico di lavoro o configurare la connessione alla sicurezza del carico di lavoro Data Infrastructure Insights accedendo all'opzione Impostazioni.

Ruolo BlueXP obbligatorio Ruolo di amministratore dell'organizzazione, amministratore di cartelle o progetti o amministratore della protezione anti-ransomware. "Scopri i ruoli di accesso BlueXP per tutti i servizi" .

Cosa puoi fare nella pagina Impostazioni? Dalla pagina Impostazioni, è possibile effettuare le seguenti operazioni:

  • Simula un attacco ransomware eseguendo un drill-down di preparazione e rispondi a un avviso ransomware simulato. Per ulteriori informazioni, vedere "Condurre un'indagine sulla preparazione all'attacco ransomware".

  • Configurare il rilevamento del carico di lavoro.

  • Configurare la connessione alla sicurezza del carico di lavoro di Data Infrastructure Insights per vedere le informazioni utente sospette negli avvisi ransomware.

  • Aggiungere una destinazione di backup.

  • Collega il tuo sistema di gestione degli eventi e della sicurezza (SIEM) per l'analisi e il rilevamento delle minacce. L'attivazione del rilevamento delle minacce invia automaticamente i dati al SIEM per l'analisi delle minacce.

Accedere direttamente alla pagina Impostazioni

È possibile accedere facilmente alla pagina Impostazioni dall'opzione azioni accanto al menu principale.

  1. Dal menu di protezione dal ransomware BlueXP, seleziona il menu Vertical (verticale) Azioni verticali…​ opzione in alto a destra.

  2. Dal menu a discesa, selezionare Impostazioni.

Simula un attacco ransomware

Condurre un'indagine di preparazione al ransomware simulando un attacco ransomware su un carico di lavoro di esempio appena creato. Quindi, esaminare l'attacco simulato e recuperare il carico di lavoro del campione. Questa funzionalità ti aiuta a essere preparato in caso di un attacco ransomware effettivo, testando i processi di notifica, risposta e recovery degli avvisi. Puoi eseguire più volte un'analisi di fattibilità del ransomware.

Per ulteriori informazioni, fare riferimento alla "Condurre un'indagine sulla preparazione all'attacco ransomware".

Configurare il rilevamento del carico di lavoro

È possibile configurare il rilevamento dei carichi di lavoro in modo da rilevare automaticamente nuovi carichi di lavoro nel proprio ambiente.

  1. Nella pagina Impostazioni, individuare il riquadro rilevamento carico di lavoro.

  2. Nella sezione rilevamento del carico di lavoro, selezionare rilevamento dei carichi di lavoro.

    Questa pagina mostra i connettori BlueXP  con ambienti di lavoro che non sono stati selezionati in precedenza, i nuovi connettori BlueXP  disponibili e i nuovi ambienti di lavoro disponibili. Questa pagina non mostra gli ambienti di lavoro precedentemente selezionati.

  3. Selezionare il connettore in cui si desidera rilevare i carichi di lavoro.

  4. Esaminare l'elenco degli ambienti di lavoro.

  5. Selezionare gli ambienti di lavoro in cui si desidera rilevare i carichi di lavoro o selezionare la casella nella parte superiore della tabella per rilevare i carichi di lavoro in tutti gli ambienti di carico di lavoro rilevati.

  6. Eseguire questa operazione per altri ambienti di lavoro, se necessario.

  7. Seleziona Scopri per fare in modo che la protezione ransomware BlueXP  rilevi automaticamente i nuovi carichi di lavoro nel connettore selezionato.

Vedi il comportamento anomalo degli utenti sospettati connettendoti alla sicurezza del workload di Data Infrastructure Insights

Prima di poter visualizzare i dettagli del comportamento sospetto di un utente anomalo nella protezione ransomware BlueXP , devi configurare la connessione al sistema di sicurezza del workload di Data Infrastructure Insights.

Ottenere un token di accesso API dal sistema di sicurezza del workload Data Infrastructure Insights

Ottenere un token di accesso API dal sistema di sicurezza del workload Data Infrastructure Insights.

  1. Accedere al sistema di sicurezza del carico di lavoro Data Infrastructure Insights.

  2. Dal menu di navigazione a sinistra, selezionare Ammin > accesso API.

    Pagina di accesso API in Data Infrastructure Insights workload Security

  3. Creare un token di accesso API o utilizzarne uno esistente.

  4. Copiare il token di accesso API.

Connettersi alla sicurezza del carico di lavoro di Data Infrastructure Insights

  1. Dal menu Impostazioni protezione ransomware di BlueXP , individuare il riquadro connessione sicurezza carico di lavoro.

  2. Selezionare Connect.

  3. Immettere l'URL per l'interfaccia utente di sicurezza del carico di lavoro dell'infrastruttura dati.

  4. Immettere il token di accesso API che fornisce l'accesso alla sicurezza del workload.

  5. Selezionare Connect.

Aggiungere una destinazione di backup

La protezione dal ransomware di BlueXP identifica i workload che non hanno ancora backup e anche quelli che non hanno ancora destinazioni di backup assegnate.

Per proteggere questi workload, è necessario aggiungere una destinazione di backup. È possibile scegliere una delle seguenti destinazioni di backup:

  • NetApp StorageGRID

  • Amazon Web Services (AWS)

  • Piattaforma Google Cloud

  • Microsoft Azure

Nota Le destinazioni di backup non sono disponibili per i workload in Amazon FSX per NetApp ONTAP. Esegui le operazioni di backup usando il servizio di backup FSX per ONTAP.

È possibile aggiungere una destinazione di backup in base a un'azione consigliata dal Dashboard o accedendo all'opzione Impostazioni del menu.

Accedere alle opzioni destinazione backup dalle azioni consigliate del dashboard

Il Dashboard fornisce molti consigli. Si consiglia di configurare una destinazione di backup.

Fasi

  1. Dal menu di navigazione a sinistra di BlueXP, seleziona protezione > protezione dal ransomware.

  2. Esaminare il riquadro delle azioni consigliate del dashboard.

    Pagina del dashboard

  3. Dal dashboard, selezionare Rivedi e correggi per la raccomandazione "prepara <backup provider> come destinazione di backup".

  4. Continuare con le istruzioni a seconda del provider di backup.

Aggiungere StorageGRID come destinazione di backup

Per impostare NetApp StorageGRID come destinazione di backup, immettere le seguenti informazioni.

Fasi

  1. Nella pagina Impostazioni > Destinazioni di backup, selezionare Aggiungi.

  2. Immettere un nome per la destinazione di backup.

    Pagina destinazioni di backup

  3. Selezionare StorageGRID.

  4. Selezionare la freccia verso il basso accanto a ciascuna impostazione e immettere o selezionare i valori:

    • Impostazioni provider:

      • Creare un nuovo bucket o portare il proprio bucket che memorizzerà i backup.

      • Nodo gateway StorageGRID Nome di dominio, porta, chiave di accesso StorageGRID e credenziali chiave segreta completi.

    • Networking: Scegliere IPSpace.

      • IPSpace è il cluster in cui risiedono i volumi di cui si desidera eseguire il backup. Le LIF intercluster per questo IPSpace devono disporre di accesso a Internet in uscita.

  5. Selezionare Aggiungi.

Risultato

La nuova destinazione di backup viene aggiunta all'elenco delle destinazioni di backup.

Pagina destinazioni di backup opzione Impostazioni

Aggiungere Amazon Web Services come destinazione di backup

Per configurare AWS come destinazione di backup, immettere le seguenti informazioni.

Per informazioni sulla gestione dello storage AWS in BlueXP, fare riferimento a. "Gestisci i bucket Amazon S3".

Fasi

  1. Nella pagina Impostazioni > Destinazioni di backup, selezionare Aggiungi.

  2. Immettere un nome per la destinazione di backup.

    Pagina destinazioni di backup

  3. Selezionare Amazon Web Services.

  4. Selezionare la freccia verso il basso accanto a ciascuna impostazione e immettere o selezionare i valori:

    • Impostazioni provider:

    • Crittografia: Se si sta creando un nuovo bucket S3, immettere le informazioni sulla chiave di crittografia fornite dal provider. Se si sceglie un bucket esistente, le informazioni di crittografia sono già disponibili.

      I dati nel bucket sono criptati con chiavi gestite da AWS per impostazione predefinita. Puoi continuare a utilizzare le chiavi gestite da AWS oppure gestire la crittografia dei tuoi dati con le tue chiavi.

    • Rete: Scegliere IPSpace e se si utilizza un endpoint privato.

      • IPSpace è il cluster in cui risiedono i volumi di cui si desidera eseguire il backup. Le LIF intercluster per questo IPSpace devono disporre di accesso a Internet in uscita.

      • In alternativa, è possibile scegliere se utilizzare un endpoint privato AWS (PrivateLink) precedentemente configurato.

        Per utilizzare AWS PrivateLink, consultare la sezione "AWS PrivateLink per Amazon S3".

    • Blocco di backup: Scegliere se si desidera che il servizio protegga i backup dalla modifica o dall'eliminazione. Questa opzione utilizza la tecnologia DataLock di NetApp. Ciascun backup verrà bloccato durante il periodo di conservazione o per un minimo di 30 giorni, più un periodo di buffer massimo di 14 giorni.

      Avvertenza Se si configura ora l'impostazione del blocco di backup, non sarà possibile modificarla in un secondo momento dopo la configurazione della destinazione di backup.

      • Governance mode: Utenti specifici (con autorizzazione S3:BypassGovernanceRetention) possono sovrascrivere o eliminare i file protetti durante il periodo di conservazione.

      • Modalità conformità: Gli utenti non possono sovrascrivere o eliminare i file di backup protetti durante il periodo di conservazione.

  5. Selezionare Aggiungi.

Risultato

La nuova destinazione di backup viene aggiunta all'elenco delle destinazioni di backup.

Pagina destinazioni di backup opzione Impostazioni

Aggiungi Google Cloud Platform come destinazione di backup

Per configurare Google Cloud Platform (GCP) come destinazione di backup, inserisci le seguenti informazioni.

Per informazioni dettagliate sulla gestione dello storage GCP in BlueXP , fare riferimento alla "Opzioni di installazione del connettore in Google Cloud".

Fasi

  1. Nella pagina Impostazioni > Destinazioni di backup, selezionare Aggiungi.

  2. Immettere un nome per la destinazione di backup.

    Pagina destinazioni di backup

  3. Selezionare Google Cloud Platform.

  4. Selezionare la freccia verso il basso accanto a ciascuna impostazione e immettere o selezionare i valori:

    • Impostazioni provider:

      • Creare un nuovo bucket. Immettere la chiave di accesso e la chiave segreta.

      • Immettere o selezionare il progetto e la regione di Google Cloud Platform.

    • Crittografia: Se si sta creando un nuovo bucket, immettere le informazioni sulla chiave di crittografia fornite dal provider. Se si sceglie un bucket esistente, le informazioni di crittografia sono già disponibili.

      Per impostazione predefinita, i dati nel bucket sono crittografati con chiavi gestite da Google. È possibile continuare a utilizzare le chiavi gestite da Google.

    • Rete: Scegliere IPSpace e se si utilizza un endpoint privato.

      • IPSpace è il cluster in cui risiedono i volumi di cui si desidera eseguire il backup. Le LIF intercluster per questo IPSpace devono disporre di accesso a Internet in uscita.

      • In alternativa, è possibile scegliere se utilizzare un endpoint privato GCP (PrivateLink) precedentemente configurato.

  5. Selezionare Aggiungi.

Risultato

La nuova destinazione di backup viene aggiunta all'elenco delle destinazioni di backup.

Aggiungere Microsoft Azure come destinazione di backup

Per configurare Azure come destinazione di backup, immettere le seguenti informazioni.

Per informazioni sulla gestione delle credenziali di Azure e delle iscrizioni al marketplace in BlueXP, fare riferimento a. "Gestire le tue credenziali Azure e le iscrizioni al marketplace".

Fasi

  1. Nella pagina Impostazioni > Destinazioni di backup, selezionare Aggiungi.

  2. Immettere un nome per la destinazione di backup.

    Pagina destinazioni di backup

  3. Selezionare Azure.

  4. Selezionare la freccia verso il basso accanto a ciascuna impostazione e immettere o selezionare i valori:

    • Impostazioni provider:

    • Crittografia: Se si crea un nuovo account di archiviazione, immettere le informazioni sulla chiave di crittografia fornite dal provider. Se si sceglie un account esistente, le informazioni sulla crittografia sono già disponibili.

      Per impostazione predefinita, i dati dell'account sono crittografati con chiavi gestite da Microsoft. Puoi continuare a utilizzare le chiavi gestite da Microsoft o gestire la crittografia dei tuoi dati con le tue chiavi.

    • Rete: Scegliere IPSpace e se si utilizza un endpoint privato.

      • IPSpace è il cluster in cui risiedono i volumi di cui si desidera eseguire il backup. Le LIF intercluster per questo IPSpace devono disporre di accesso a Internet in uscita.

      • Facoltativamente, scegliere se utilizzare un endpoint privato Azure precedentemente configurato.

        Se si desidera utilizzare Azure PrivateLink, consultare la sezione "Azure PrivateLink".

  5. Selezionare Aggiungi.

Risultato

La nuova destinazione di backup viene aggiunta all'elenco delle destinazioni di backup.

Pagina destinazioni di backup opzione Impostazioni

Connettersi a un sistema di gestione della sicurezza e degli eventi (SIEM) per l'analisi e il rilevamento delle minacce

Puoi inviare automaticamente i dati al tuo sistema di gestione degli eventi e della sicurezza (SIEM) per l'analisi e il rilevamento delle minacce. Puoi selezionare AWS Security Hub, Microsoft Sentinel o Splunk Cloud come tuo SIEM.

Prima di abilitare SIEM nella protezione dal ransomware BlueXP , devi configurare il tuo sistema SIEM.

Informazioni sui dati dell'evento inviati a un SIEM

La BlueXP ransomware protection può inviare i seguenti dati sugli eventi al tuo sistema SIEM:

  • contesto:

    • os: Questa è una costante con il valore di ONTAP.

    • os_version: la versione di ONTAP in esecuzione nell'ambiente di lavoro.

    • connector_id: ID del connettore che gestisce l'ambiente di lavoro.

    • cluster_id: ID del cluster segnalato da ONTAP per l'ambiente di lavoro.

    • svm_name: Nome dell'SVM in cui è stato trovato l'avviso.

    • volume_name: Nome del volume su cui si trova l'avviso.

    • volume_id: ID del volume segnalato da ONTAP per l'ambiente di lavoro.

  • incidente:

    • incident_id: ID incidente generato dalla BlueXP ransomware protection per il volume sottoposto ad attacco nel servizio.

    • alert_id: ID generato dalla BlueXP ransomware protection per il carico di lavoro.

    • gravità: Uno dei seguenti livelli di allerta: "CRITICO", "ALTO", "MEDIO", "BASSO".

    • descrizione: Dettagli sull'avviso rilevato, ad esempio "Un potenziale attacco ransomware rilevato sul carico di lavoro arp_learning_mode_test_2630"

Configurare AWS Security Hub per il rilevamento delle minacce

Prima di abilitare la protezione dal ransomware di AWS Security Hub in BlueXP , devi eseguire i seguenti passaggi generali nell'AWS Security Hub:

  • Impostare le autorizzazioni in AWS Security Hub.

  • Configurare la chiave di accesso e la chiave segreta di autenticazione nell'AWS Security Hub. (Questi passaggi non sono forniti qui).

Procedura per impostare le autorizzazioni in AWS Security Hub

  1. Vai a Console IAM AWS.

  2. Selezionare Criteri.

  3. Creare un criterio utilizzando il seguente codice in formato JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

Configurare Microsoft Sentinel per il rilevamento delle minacce

Prima di abilitare Microsoft Sentinel nella protezione anti-ransomware BlueXP , è necessario eseguire i seguenti passaggi di alto livello in Microsoft Sentinel:

  • Prerequisiti

    • Attivare Microsoft Sentinel.

    • Creare un ruolo personalizzato in Microsoft Sentinel.

  • Registrazione

    • Registra la protezione ransomware BlueXP  per ricevere eventi da Microsoft Sentinel.

    • Creare un segreto per la registrazione.

  • Permissions: Consente di assegnare autorizzazioni all'applicazione.

  • Autenticazione: Immettere le credenziali di autenticazione per l'applicazione.

Procedura per l'attivazione di Microsoft Sentinel

  1. Accedere a Microsoft Sentinel.

  2. Creare un'area di lavoro Log Analytics.

  3. Abilitare Microsoft Sentinel a utilizzare lo spazio di lavoro Log Analytics appena creato.

Procedura per creare un ruolo personalizzato in Microsoft Sentinel

  1. Accedere a Microsoft Sentinel.

  2. Selezionare sottoscrizione > controllo accesso (IAM).

  3. Immettere un nome di ruolo personalizzato. Utilizzate il nome BlueXP  ransomware Protection Sentinel Configurator.

  4. Copiare il seguente JSON e incollarlo nella scheda JSON.

    {
  "roleName": "BlueXP Ransomware Protection Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. Rivedere e salvare le impostazioni.

Passaggi per registrare la protezione ransomware BlueXP  per ricevere eventi da Microsoft Sentinel

  1. Accedere a Microsoft Sentinel.

  2. Selezionare Entra ID > applicazioni > registrazioni app.

  3. Per Nome visualizzato dell'applicazione, immettere "BlueXP  ransomware Protection".

  4. Nel campo tipo di account supportato, selezionare account solo in questa directory organizzativa.

  5. Selezionare un Indice predefinito in cui verranno inviati gli eventi.

  6. Selezionare Revisione.

  7. Selezionare Registra per salvare le impostazioni.

    Dopo la registrazione, il centro di amministrazione di Microsoft Entra visualizza il riquadro Panoramica dell'applicazione.

Procedura per creare un segreto per la registrazione

  1. Accedere a Microsoft Sentinel.

  2. Selezionare certificati e segreti > segreti client > nuovo segreto client.

  3. Aggiungere una descrizione per la password dell'applicazione.

  4. Selezionare una scadenza per il segreto o specificare una durata personalizzata.

    Suggerimento La durata del segreto del cliente è limitata a due anni (24 mesi) o meno. Microsoft consiglia di impostare un valore di scadenza inferiore a 12 mesi.

  5. Selezionare Aggiungi per creare la propria password.

  6. Registrare il segreto da utilizzare nella fase di autenticazione. Il segreto non viene mai più visualizzato dopo aver lasciato questa pagina.

Procedura per assegnare autorizzazioni all'applicazione

  1. Accedere a Microsoft Sentinel.

  2. Selezionare sottoscrizione > controllo accesso (IAM).

  3. Selezionare Aggiungi > Aggiungi assegnazione ruolo.

  4. Per il campo ruoli di amministratore con privilegi, selezionare configuratore Sentinel protezione ransomware BlueXP .

    Suggerimento Questo è il ruolo personalizzato creato in precedenza.

  5. Selezionare Avanti.

  6. Nel campo Assegna accesso a, selezionare utente, gruppo o principale servizio.

  7. Selezionare Seleziona membri. Quindi, selezionare BlueXP  - configuratore di Sentinel per la protezione dal ransomware.

  8. Selezionare Avanti.

  9. Nel campo cosa può fare l'utente, selezionare Consenti all'utente di assegnare tutti i ruoli tranne i ruoli di amministratore con privilegi Proprietario, UAA, RBAC (consigliato).

  10. Selezionare Avanti.

  11. Selezionare Rivedi e assegna per assegnare le autorizzazioni.

Procedura per l'immissione delle credenziali di autenticazione per l'applicazione

  1. Accedere a Microsoft Sentinel.

  2. Immettere le credenziali:

    1. Immettere l'ID tenant, l'ID dell'applicazione client e il segreto dell'applicazione client.

    2. Fare clic su Authenticate.

      Nota Una volta completata l'autenticazione, viene visualizzato il messaggio "autenticato".

  3. Immettere i dettagli dell'area di lavoro Log Analytics per l'applicazione.

    1. Selezionare l'ID della sottoscrizione, il gruppo di risorse e l'area di lavoro analisi registro.

Configura Splunk Cloud per il rilevamento delle minacce

Prima di abilitare la protezione dal ransomware Splunk Cloud in BlueXP , dovrai eseguire le seguenti operazioni di alto livello in Splunk Cloud:

  • Abilitare un servizio di raccolta eventi HTTP in Splunk Cloud per ricevere dati degli eventi tramite HTTP o HTTPS da BlueXP .

  • Creare un token di raccolta eventi in Splunk Cloud.

Procedura per attivare un agente di raccolta eventi HTTP in Splunk

  1. Vai a Splunk Cloud.

  2. Selezionare Impostazioni > ingressi dati.

  3. Selezionare HTTP Event Collector > Impostazioni globali.

  4. Nell'interruttore tutti i token, selezionare abilitato.

  5. Per fare in modo che Event Collector ascolti e comunichi su HTTPS piuttosto che su HTTP, selezionare Abilita SSL.

  6. Immettere una porta in numero porta HTTP per il modulo di raccolta eventi HTTP.

Procedura per creare un token di raccolta eventi in Splunk

  1. Vai a Splunk Cloud.

  2. Selezionare Impostazioni > Aggiungi dati.

  3. Selezionare Monitor > HTTP Event Collector.

  4. Immettere un nome per il token e selezionare Avanti.

  5. Selezionare un Indice predefinito in cui verranno inviati gli eventi, quindi selezionare Rivedi.

  6. Verificare che tutte le impostazioni per l'endpoint siano corrette, quindi selezionare Invia.

  7. Copiare il token e incollarlo in un altro documento per prepararlo all'operazione di autenticazione.

Connetti SIEM alla protezione dal ransomware BlueXP 

Attivando SIEM, i dati dalla protezione anti-ransomware BlueXP  vengono inviati al server SIEM per l'analisi e il reporting delle minacce.

Fasi

  1. Dal menu BlueXP , seleziona protezione > protezione anti-ransomware.

  2. Dal menu di protezione dal ransomware BlueXP, seleziona il menu Vertical (verticale) Azioni verticali…​ opzione in alto a destra.

  3. Selezionare Impostazioni.

    Viene visualizzata la pagina Impostazioni.

    Pagina delle impostazioni

  4. Nella pagina Impostazioni, selezionare Connetti nel riquadro connessione SIEM.

    Abilita pagina dettagli rilevamento minacce

  5. Scegliere uno dei sistemi SIEM.

  6. Inserisci il token e i dettagli di autenticazione configurati in AWS Security Hub o Splunk Cloud.

    Nota Le informazioni immesse dipendono dal SIEM selezionato.

  7. Selezionare Abilita.

    Nella pagina Impostazioni viene visualizzato "connesso".