BlueXPのランサムウェア対策の設定
[設定]*オプションにアクセスして、バックアップ先の設定、脅威検出の有効化、Data Infrastructure Insightsワークロードセキュリティへの接続の設定を行うことができます。脅威検出を有効にすると、脅威分析のためにセキュリティおよびイベント管理システム(SIEM)にデータが自動的に送信されます。
[Settings]ページでは、次の操作を実行できます。
-
Data Infrastructure Insightsワークロードセキュリティへの接続を設定し、ランサムウェアのアラートに疑わしいユーザ情報を表示します。
-
バックアップ先を追加します。
-
セキュリティおよびイベント管理システム(SIEM)を接続して、脅威の分析と検出を行います。
[Settings]ページに直接アクセスする
[設定]ページには、トップメニューの近くにある[アクション]オプションから簡単にアクセスできます。
-
BlueXPのランサムウェア対策メニューで、 …オプションを右上に表示します。
-
ドロップダウンメニューから*[設定]*を選択します。
データインフラの分析情報ワークロードのセキュリティに接続して、ユーザの異常な行動の疑いを確認
BlueXP ランサムウェア対策で疑わしい異常なユーザ行動の詳細を表示するには、データインフラ分析情報ワークロードセキュリティシステムへの接続を設定する必要があります。
Data Infrastructure InsightsワークロードセキュリティシステムからAPIアクセストークンを取得する
Data Infrastructure InsightsワークロードセキュリティシステムからAPIアクセストークンを取得します。
-
Data Infrastructure Insightsワークロードセキュリティシステムにログインします。
-
左側のナビゲーションで、* Admin > API Access *を選択します。
ページ"]
-
APIアクセストークンを作成するか、既存のアクセストークンを使用します。
-
APIアクセストークンをコピーします。
データインフラの分析情報に接続ワークロードのセキュリティ
-
BlueXP ランサムウェア対策設定メニューから、*ワークロードセキュリティ接続*を選択します。
-
「 * 接続」を選択します。
-
データインフラワークロードセキュリティUIのURLを入力します。
-
ワークロードのセキュリティへのアクセスを提供するAPIアクセストークンを入力します。
-
「 * 接続」を選択します。
バックアップ先の追加
BlueXPのランサムウェア対策なら、バックアップがまだないワークロードだけでなく、バックアップ先がまだ割り当てられていないワークロードも特定できます。
これらのワークロードを保護するには、バックアップ先を追加する必要があります。次のいずれかのバックアップ先を選択できます。
-
NetApp StorageGRID
-
Amazon Web Services ( AWS )
-
Google Cloud Platform
-
Microsoft Azure
ダッシュボードまたはメニューの[Settings]オプションにアクセスして、推奨される対処方法に基づいてバックアップ先を追加できます。
ダッシュボードの推奨アクションから[バックアップ先]オプションにアクセスする
ダッシュボードにはさまざまな推奨事項が表示されます。バックアップ先を設定することも推奨されます。
-
BlueXPの左側のナビゲーションで、[保護]>*[Ransomware protection]*を選択します。
-
ダッシュボードの推奨される操作ウィンドウを確認します。
-
ダッシュボードで、「バックアップ先として<backup provider>を準備する」を推奨するために*[確認と修正]*を選択します。
-
バックアッププロバイダに応じて手順を続行します。
バックアップ先としてのStorageGRIDの追加
NetApp StorageGRIDをバックアップ先として設定するには、次の情報を入力します。
-
[設定]>[バックアップデスティネーション]ページで、[追加]*を選択します。
-
バックアップ先の名前を入力します。
ページ"]
-
「* StorageGRID *」を選択します。
-
各設定の横にある下矢印を選択し、値を入力または選択します。
-
プロバイダ設定:
-
新しいバケットを作成するか、バックアップを保存する独自のバケットを使用します。
-
StorageGRIDゲートウェイノードの完全修飾ドメイン名、ポート、StorageGRIDアクセスキー、シークレットキーのクレデンシャル。
-
-
ネットワーク:IPspaceを選択します。
-
IPspaceは、バックアップするボリュームが配置されているクラスタです。この IPspace のクラスタ間 LIF には、アウトバウンドのインターネットアクセスが必要です。
-
-
-
「 * 追加」を選択します。
新しいバックアップ先がバックアップ先のリストに追加されます。
ページの[Settings]オプション"]
バックアップ先としてAmazon Web Servicesを追加
バックアップ先としてAWSを設定するには、次の情報を入力します。
BlueXPでのAWSストレージの管理の詳細については、 "Amazon S3バケットを管理します"。
-
[設定]>[バックアップデスティネーション]ページで、[追加]*を選択します。
-
バックアップ先の名前を入力します。
ページ"]
-
Amazon Web Servicesを選択します。
-
各設定の横にある下矢印を選択し、値を入力または選択します。
-
プロバイダ設定:
-
新しいバケットを作成し、BlueXPに既存のバケットがある場合は既存のバケットを選択するか、バックアップを格納する独自のバケットを使用します。
-
AWSクレデンシャル用のAWSアカウント、リージョン、アクセスキー、シークレットキー
-
-
暗号化:新しいS3バケットを作成する場合は、プロバイダから提供された暗号化キー情報を入力します。既存のバケットを選択した場合は、暗号化情報がすでに表示されています。
バケット内のデータは、デフォルトでAWSが管理するキーを使用して暗号化されます。AWSで管理されるキーを引き続き使用することも、独自のキーを使用してデータの暗号化を管理することもできます。
-
ネットワーク:IPspaceとプライベートエンドポイントを使用するかどうかを選択します。
-
IPspaceは、バックアップするボリュームが配置されているクラスタです。この IPspace のクラスタ間 LIF には、アウトバウンドのインターネットアクセスが必要です。
-
必要に応じて、以前に設定したAWSプライベートエンドポイント(PrivateLink)を使用するかどうかを選択します。
AWS PrivateLinkを使用する場合は、を参照してください。 "Amazon S3用のAWS PrivateLink"。
-
-
バックアップロック:バックアップが変更または削除されないようにサービスで保護するかどうかを選択します。このオプションは、NetApp DataLockテクノロジを使用します。各バックアップは、保持期間中(最低30日間)、および最大14日間のバッファ期間中にロックされます。
ここでバックアップロックの設定を行う場合は、バックアップ先の設定後に設定を変更することはできません。 -
ガバナンスモード:特定のユーザ(s3:BypassGovernanceRetention権限を持つ)は、保持期間中に保護されたファイルを上書きまたは削除できます。
-
準拠モード:保持期間中は、保護されたバックアップファイルを上書きまたは削除することはできません。
-
-
-
「 * 追加」を選択します。
新しいバックアップ先がバックアップ先のリストに追加されます。
ページの[Settings]オプション"]
バックアップ先としてGoogle Cloud Platformを追加
バックアップ先としてGoogle Cloud Platform(GCP)を設定するには、次の情報を入力します。
BlueXP でのGCPストレージの管理の詳細については、を参照してください "Google Cloudでのコネクタのインストールオプション"。
-
[設定]>[バックアップデスティネーション]ページで、[追加]*を選択します。
-
バックアップ先の名前を入力します。
ページ"]
-
[* Google Cloud Platform*]を選択します。
-
各設定の横にある下矢印を選択し、値を入力または選択します。
-
プロバイダ設定:
-
新しいバケットを作成します。アクセスキーとシークレットキーを入力します。
-
Google Cloud Platformのプロジェクトとリージョンを入力または選択します。
-
-
暗号化:新しいバケットを作成する場合は、プロバイダから提供された暗号化キー情報を入力します。既存のバケットを選択した場合は、暗号化情報がすでに表示されています。
バケット内のデータは、デフォルトでGoogleが管理するキーで暗号化されます。Googleで管理されているキーを引き続き使用できます。
-
ネットワーク:IPspaceとプライベートエンドポイントを使用するかどうかを選択します。
-
IPspaceは、バックアップするボリュームが配置されているクラスタです。この IPspace のクラスタ間 LIF には、アウトバウンドのインターネットアクセスが必要です。
-
必要に応じて、以前に設定したGCPプライベートエンドポイント(PrivateLink)を使用するかどうかを選択します。
-
-
-
「 * 追加」を選択します。
新しいバックアップ先がバックアップ先のリストに追加されます。
バックアップ先としてMicrosoft Azureを追加
Azureをバックアップ先として設定するには、次の情報を入力します。
BlueXPでAzureクレデンシャルとマーケットプレイスサブスクリプションを管理する方法の詳細については、 "Azureクレデンシャルとマーケットプレイスサブスクリプションを管理"。
-
[設定]>[バックアップデスティネーション]ページで、[追加]*を選択します。
-
バックアップ先の名前を入力します。
ページ"]
-
「 * Azure * 」を選択します。
-
各設定の横にある下矢印を選択し、値を入力または選択します。
-
プロバイダ設定:
-
新しいストレージアカウントを作成します。BlueXPにすでにストレージアカウントがある場合は既存のアカウントを選択するか、バックアップを保存する独自のストレージアカウントを使用します。
-
Azureクレデンシャル用のAzureサブスクリプション、リージョン、リソースグループ
-
-
暗号化:新しいストレージアカウントを作成する場合は、プロバイダから提供された暗号化キー情報を入力します。既存のアカウントを選択した場合は、暗号化情報がすでに使用可能です。
デフォルトでは、アカウント内のデータはMicrosoftが管理するキーで暗号化されます。Microsoftが管理するキーを引き続き使用することも、独自のキーを使用してデータの暗号化を管理することもできます。
-
ネットワーク:IPspaceとプライベートエンドポイントを使用するかどうかを選択します。
-
IPspaceは、バックアップするボリュームが配置されているクラスタです。この IPspace のクラスタ間 LIF には、アウトバウンドのインターネットアクセスが必要です。
-
必要に応じて、以前に設定したAzureプライベートエンドポイントを使用するかどうかを選択します。
Azure PrivateLinkを使用する場合は、を参照してください。 "Azure PrivateLink"。
-
-
-
「 * 追加」を選択します。
新しいバックアップ先がバックアップ先のリストに追加されます。
ページの[Settings]オプション"]
脅威検出を有効にする
セキュリティおよびイベント管理システム(SIEM)にデータを自動的に送信して、脅威の分析と検出を行うことができます。SIEMとして、AWS Security Hub、Microsoft Sentinel、Splunk Cloudを選択できます。
BlueXP ランサムウェア対策でSIEMを有効にする前に、SIEMシステムを設定する必要があります。
脅威検出のためのAWS Security Hubの設定
BlueXP ランサムウェア対策でAWSセキュリティハブを有効にする前に、AWSセキュリティハブで次の手順を実行する必要があります。
-
AWS Security Hubで権限を設定します。
-
AWS Security Hubで認証アクセスキーとシークレットキーを設定します。(これらの手順はここでは説明しません)。
-
AWS IAMコンソール*に移動します。
-
[ポリシー]*を選択します。
-
JSON形式の次のコードを使用してポリシーを作成します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NetAppSecurityHubFindings", "Effect": "Allow", "Action": [ "securityhub:BatchImportFindings", "securityhub:BatchUpdateFindings" ], "Resource": [ "arn:aws:securityhub:*:*:product/*/default", "arn:aws:securityhub:*:*:hub/default" ] } ] }
脅威検出のためのMicrosoft Sentinelの設定
BlueXP ランサムウェア対策でMicrosoft Sentinelを有効にする前に、Microsoft Sentinelで次の大まかな手順を実行する必要があります。
-
* 前提条件 *
-
Microsoft Sentinelを有効にします。
-
Microsoft Sentinelでカスタムロールを作成します。
-
-
登録
-
BlueXP ランサムウェア対策を登録して、Microsoft Sentinelからイベントを受信します。
-
登録用のシークレットを作成します。
-
-
権限:アプリケーションに権限を割り当てます。
-
認証:アプリケーションの認証クレデンシャルを入力します。
-
Microsoft Sentinelにアクセスします。
-
ログ分析ワークスペース*を作成します。
-
作成したLog AnalyticsワークスペースをMicrosoft Sentinelで使用できるようにします。
-
Microsoft Sentinelにアクセスします。
-
>[アクセス制御(IAM)]*を選択します。
-
カスタムロール名を入力します。BlueXP Ransomware Protection Sentinel Configurator *という名前を使用します。
-
以下のJSONをコピーして* JSON *タブに貼り付けます。
{ "roleName": "BlueXP Ransomware Protection Sentinel Configurator", "description": "", "assignableScopes":["/subscriptions/{subscription_id}"], "permissions": [ ] }
-
設定を確認して保存します。
-
Microsoft Sentinelにアクセスします。
-
* Entra ID > Applications > App registrations *を選択します。
-
アプリケーションの*表示名*に「* BlueXP ransomware protection *」と入力します。
-
[サポートされているアカウントタイプ]フィールドで、*[この組織ディレクトリ内のアカウントのみ]*を選択します。
-
イベントがプッシュされる*デフォルトインデックス*を選択します。
-
[* Review (レビュー) ] を選択します
-
[登録]*を選択して設定を保存します。
登録後、Microsoft Entra管理センターにアプリケーションの[概要]ペインが表示されます。
-
Microsoft Sentinelにアクセスします。
-
証明書とシークレット>*クライアントシークレット*>*新しいクライアントシークレット*を選択します。
-
アプリケーションシークレットの説明を追加します。
-
シークレットの*有効期限*を選択するか、カスタムの有効期限を指定します。
クライアントシークレットのライフタイムは2年(24か月)以下に制限されています。Microsoftでは、有効期限の値を12か月未満に設定することを推奨しています。 -
[追加]*を選択してシークレットを作成します。
-
認証ステップで使用するシークレットを記録します。このページから移動すると、シークレットは再び表示されなくなります。
-
Microsoft Sentinelにアクセスします。
-
>[アクセス制御(IAM)]*を選択します。
-
>[ロール割り当ての追加]*を選択します。
-
フィールドで、[ BlueXP Ransomware Protection Sentinel Configurator]*を選択します。
これは、前の手順で作成したカスタムロールです。 -
「 * 次へ * 」を選択します。
-
[アクセスの割り当て先]フィールドで、*[ユーザー、グループ、またはサービスプリンシパル]*を選択します。
-
を選択します。次に、 BlueXP Ransomware Protection Sentinel Configurator *を選択します。
-
「 * 次へ * 」を選択します。
-
[フェルド]で、[ユーザに権限のある管理者ロールを除くすべてのロールの割り当てを許可する][所有者、UAA、RBAC(推奨)]*を選択します。
-
「 * 次へ * 」を選択します。
-
[確認して割り当て]*を選択して権限を割り当てます。
-
Microsoft Sentinelにアクセスします。
-
クレデンシャルを入力します。
-
テナントID、クライアントアプリケーションID、およびクライアントアプリケーションシークレットを入力します。
-
[* Authenticate] をクリックします。
認証に成功すると、「authenticated」メッセージが表示されます。
-
-
アプリケーションのLog Analyticsワークスペースの詳細を入力します。
-
サブスクリプションID、リソースグループ、およびLog Analyticsワークスペースを選択します。
-
脅威検出のためのSplunk Cloudの設定
BlueXP ランサムウェア対策でSplunk Cloudを有効にする前に、Splunk Cloudで次の手順を実行する必要があります。
-
Splunk CloudのHTTPイベントコレクタがBlueXP からHTTPまたはHTTPS経由でイベントデータを受信できるようにします。
-
Splunk Cloudでイベントコレクタトークンを作成します。
-
Splunk Cloudに移動します。
-
>[データ入力]*を選択します。
-
>[Global Settings]*を選択します。
-
[すべてのトークン]トグルで、*[有効]*を選択します。
-
イベントコレクタがHTTPではなくHTTPSで待ち受けて通信するようにするには、* SSLを有効にする*を選択します。
-
HTTP Event Collectorのポートを* HTTP Port Number *に入力します。
-
Splunk Cloudに移動します。
-
>[データの追加]*を選択します。
-
* Monitor > HTTP Event Collector *を選択します。
-
トークンの名前を入力し、* Next *を選択します。
-
イベントがプッシュされる*デフォルトインデックス*を選択し、*レビュー*を選択します。
-
エンドポイントの設定がすべて正しいことを確認し、*[送信]*を選択します。
-
トークンをコピーして別のドキュメントに貼り付け、認証手順の準備をします。
SIEMをBlueXP ランサムウェア対策に接続
SIEMを有効にすると、BlueXP ランサムウェア対策からSIEMサーバにデータが送信され、脅威の分析とレポートが作成されます。
-
BlueXP メニューから、* Protection > Ransomware protection *を選択します。
-
BlueXPのランサムウェア対策メニューで、 …オプションを右上に表示します。
-
[設定]*を選択します。
[Settings]ページが表示されます。
ページ"]
-
[設定]ページで、SIEM接続タイルの*[接続]*を選択します。
ページ"]
-
SIEMシステムのいずれかを選択します。
-
AWS Security HubまたはSplunk Cloudで設定したトークンと認証の詳細を入力します。
入力する情報は、選択したSIEMによって異なります。 -
[ 有効 ] を選択します。
[設定]ページに[接続済み]と表示されます。