Skip to main content
NetApp Ransomware Resilience
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Collega NetApp Ransomware Resilience a un SIEM per l'analisi e il rilevamento delle minacce

Collaboratori netapp-ahibbard
PDF

Un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM) centralizza i dati di log e degli eventi per fornire informazioni sugli eventi di sicurezza e sulla conformità. NetApp Ransomware Resilience supporta l'invio automatico dei dati al tuo SIEM per semplificare l'analisi e il rilevamento delle minacce.

Ransomware Resilience supporta i seguenti SIEM:

  • AWS Security Hub

  • Microsoft Sentinel

  • Splunk Cloud

  • Splunk Enterprise

Prima di abilitare SIEM in Ransomware Resilience, è necessario configurare il sistema SIEM.

Suggerimento Ransomware Resilience supporta anche "playbook di security orchestration, automation, and response (SOAR)".

Dati evento inviati a un SIEM

Ransomware Resilience può inviare i seguenti dati sugli eventi al tuo sistema SIEM:

  • contesto:

    • os: Questa è una costante con il valore di ONTAP.

    • os_version: la versione di ONTAP in esecuzione sul sistema.

    • connector_id: ID dell'agente della console che gestisce il sistema.

    • cluster_id: ID del cluster segnalato da ONTAP per il sistema.

    • svm_name: Nome dell'SVM in cui è stato trovato l'avviso.

    • volume_name: Nome del volume su cui si trova l'avviso.

    • volume_id: ID del volume segnalato da ONTAP per il sistema.

  • incidente:

    • incident_id: ID incidente generato da Ransomware Resilience per il volume sottoposto ad attacco in Ransomware Resilience.

    • alert_id: ID generato da Ransomware Resilience per il carico di lavoro.

    • gravità: La gravità dei livelli di allerta: "CRITICO", "ALTO", "MEDIO", "BASSO".

    • descrizione: Dettagli sull'avviso rilevato, ad esempio "Un potenziale attacco ransomware rilevato sul carico di lavoro arp_learning_mode_test_2630"

    • titolo: Il nome visualizzato dell'avviso rilevato

    • criticità: Valutazione della criticità del volume nel tuo ambiente: "CRITICO", "IMPORTANTE", "STANDARD".

    • incident_status: Lo stato attivo dell'incidente, che può essere: "NEW", "RESOLVED", "DISMISSED", "AUTO_RESOLVED".

    • first_detected: Il timestamp che indica quando l'incidente è stato rilevato per la prima volta da Ransomware Resilience.

    • is_readiness_drill: Un valore booleano che indica se l'avviso è un'esercitazione o un incidente reale.

    • protocollo: Il protocollo utilizzato dal volume. I valori possibili sono "iSCSI", "NFS" e "SMB".

    • alert_type: Il tipo di minaccia rilevata. I valori possibili sono "Encryption", "Data destruction", "Data breach" e "Suspicious user behavior".

    • user_name: Il nome utente dell'utente sospetto associato all'avviso.

    • user_id: L'ID utente dell'utente sospetto associato all'avviso.

    • client_ips: Un elenco di indirizzi IP dei client associati all'attività sospetta, applicabile solo per gli avvisi NFS.

Nota I campi user_name e user_id sono pertinenti solo se hai configurato rilevamento del comportamento dell'utente.

Configurare AWS Security Hub per il rilevamento delle minacce

Prima di abilitare AWS Security Hub in Ransomware Resilience, è necessario eseguire i seguenti passaggi di alto livello in AWS Security Hub:

  • Imposta le autorizzazioni in AWS Security Hub.

  • Imposta la chiave di accesso all'autenticazione e la chiave segreta in AWS Security Hub. (Questi passaggi non sono forniti qui.)

Passaggi per impostare le autorizzazioni in AWS Security Hub

  1. Vai alla console AWS IAM.

  2. Selezionare Politiche.

  3. Crea una policy utilizzando il seguente codice in formato JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

Configurare Microsoft Sentinel per il rilevamento delle minacce

Prima di abilitare Microsoft Sentinel in Ransomware Resilience, è necessario eseguire i seguenti passaggi di alto livello in Microsoft Sentinel:

  • Prerequisiti

    • Abilita Microsoft Sentinel.

    • Crea un ruolo personalizzato in Microsoft Sentinel.

  • Registrazione

    • Registra Ransomware Resilience per ricevere eventi da Microsoft Sentinel.

    • Crea un segreto per la registrazione.

  • Autorizzazioni: assegna le autorizzazioni all'applicazione.

  • Autenticazione: immettere le credenziali di autenticazione per l'applicazione.

Passaggi per abilitare Microsoft Sentinel

  1. Vai a Microsoft Sentinel.

  2. Creare un'area di lavoro di Log Analytics.

  3. Abilita Microsoft Sentinel per utilizzare l'area di lavoro Log Analytics appena creata.

Passaggi per creare un ruolo personalizzato in Microsoft Sentinel

  1. Vai a Microsoft Sentinel.

  2. Selezionare Abbonamento > Controllo accessi (IAM).

  3. Inserisci un nome di ruolo personalizzato. Utilizzare il nome Ransomware Resilience Sentinel Configurator.

  4. Copia il seguente JSON e incollalo nella scheda JSON.

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. Rivedi e salva le tue impostazioni.

Passaggi per registrare Ransomware Resilience per ricevere eventi da Microsoft Sentinel

  1. Vai a Microsoft Sentinel.

  2. Selezionare Entra ID > Applicazioni > Registrazioni app.

  3. Per il Nome visualizzato dell'applicazione, immettere "Ransomware Resilience".

  4. Nel campo Tipo di account supportato, seleziona Solo account in questa directory organizzativa.

  5. Selezionare un Indice predefinito in cui verranno inviati gli eventi.

  6. Seleziona Recensione.

  7. Seleziona Registra per salvare le tue impostazioni.

    Dopo la registrazione, l'interfaccia di amministrazione di Microsoft Entra visualizza il riquadro Panoramica dell'applicazione.

Passaggi per creare un segreto per la registrazione

  1. Vai a Microsoft Sentinel.

  2. Selezionare Certificati e segreti > Segreti client > Nuovo segreto client.

  3. Aggiungi una descrizione per il segreto della tua applicazione.

  4. Seleziona una Scadenza per il segreto oppure specifica una durata personalizzata.

    Suggerimento La durata del segreto del cliente è limitata a due anni (24 mesi) o meno. Microsoft consiglia di impostare un valore di scadenza inferiore a 12 mesi.

  5. Seleziona Aggiungi per creare il tuo segreto.

  6. Registrare il segreto da utilizzare nella fase di autenticazione. Una volta che avrai abbandonato questa pagina, il segreto non verrà più visualizzato.

Passaggi per assegnare le autorizzazioni all'applicazione

  1. Vai a Microsoft Sentinel.

  2. Selezionare Abbonamento > Controllo accessi (IAM).

  3. Selezionare Aggiungi > Aggiungi assegnazione ruolo.

  4. Per il campo Ruoli di amministratore privilegiato, selezionare Ransomware Resilience Sentinel Configurator.

    Suggerimento Questo è il ruolo personalizzato che hai creato in precedenza.

  5. Selezionare Avanti.

  6. Nel campo Assegna accesso a, seleziona Utente, gruppo o entità servizio.

  7. Seleziona Seleziona membri. Quindi, seleziona Ransomware Resilience Sentinel Configurator.

  8. Selezionare Avanti.

  9. Nel campo Cosa può fare l'utente, seleziona Consenti all'utente di assegnare tutti i ruoli eccetto i ruoli di amministratore con privilegi Proprietario, UAA, RBAC (consigliato).

  10. Selezionare Avanti.

  11. Selezionare Rivedi e assegna per assegnare le autorizzazioni.

Passaggi per immettere le credenziali di autenticazione per l'applicazione

  1. Vai a Microsoft Sentinel.

  2. Inserisci le credenziali:

    1. Immettere l'ID tenant, l'ID applicazione client e il segreto dell'applicazione client.

    2. Seleziona Authenticate.

      Nota Una volta completata l'autenticazione, verrà visualizzato il messaggio "Autenticato".

  3. Immettere i dettagli dell'area di lavoro di Log Analytics per l'applicazione.

    1. Selezionare l'ID dell'abbonamento, il gruppo di risorse e l'area di lavoro Log Analytics.

Configurare Splunk Cloud e Splunk Enterprise per il rilevamento delle minacce

Ransomware Resilience supporta il rilevamento delle minacce con Splunk Cloud e Splunk Enterprise. Prima di abilitare la connessione Splunk in Ransomware Resilience, è necessario:

  • Abilita un HTTP Event Collector in Splunk Cloud o Enterprise per ricevere i dati degli eventi tramite HTTP o HTTPS dalla Console.

  • Crea un token Event Collector in Splunk Cloud o Enterprise.

Nota Per Splunk Enterprise, è necessario consentire il traffico Internet pubblico in entrata affinché Ransomware Resilience possa inviare eventi utilizzando i dettagli del raccoglitore di eventi HTTP forniti.
Passaggi per abilitare un HTTP Event Collector in Splunk

  1. Vai all'ambiente Splunk che hai scelto: Cloud o Enterprise.

  2. Selezionare Impostazioni > Inserimento dati.

  3. Selezionare HTTP Event Collector > Impostazioni globali.

  4. Nel menu a discesa Tutti i token, seleziona Abilitato.

  5. Per fare in modo che Event Collector ascolti e comunichi tramite HTTPS anziché HTTP, selezionare Abilita SSL.

  6. Immettere una porta in Numero porta HTTP per HTTP Event Collector.

Passaggi per creare un token Event Collector in Splunk

  1. Passa a Splunk Cloud o Enterprise.

  2. Selezionare Impostazioni > Aggiungi dati.

  3. Selezionare Monitor > HTTP Event Collector.

  4. Inserisci un nome per il token e seleziona Avanti.

  5. Selezionare un Indice predefinito in cui verranno inviati gli eventi, quindi selezionare Revisiona.

  6. Verificare che tutte le impostazioni per l'endpoint siano corrette, quindi selezionare Invia.

  7. Copia il token e incollalo in un altro documento per averlo pronto per la fase di autenticazione.

Connetti SIEM alla resilienza del ransomware

Abilitando SIEM, i dati da Ransomware Resilience vengono inviati al server SIEM per l'analisi e la segnalazione delle minacce.

Passi

  1. Dal menu Console, seleziona Protezione > Ransomware Resilience.

  2. Dal menu Ransomware Resilience, seleziona la verticaleAzioni verticali …​ opzione in alto a destra.

  3. Selezionare Impostazioni.

    Viene visualizzata la pagina Impostazioni.

    Pagina delle impostazioni

  4. Nella pagina Impostazioni, seleziona Connetti nel riquadro Connessione SIEM.

    Abilita la pagina dei dettagli del rilevamento delle minacce

  5. Scegli uno dei sistemi SIEM.

  6. Inserisci il token e i dettagli di autenticazione che hai configurato in AWS Security Hub, Splunk Cloud o Splunk Enterprise.

    Nota Le informazioni da immettere dipendono dal SIEM selezionato.

  7. Selezionare Abilita.

    Nella pagina Impostazioni viene visualizzato "Connesso".

Prossimi passi