Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetApp Ransomware Resilienceをセキュリティおよびイベント管理システム(SIEM)に接続し、脅威の分析と検出を行う

共同作成者 netapp-ahibbard
PDF

セキュリティおよびイベント管理システム(SIEM)は、ログとイベント データを一元管理して、セキュリティ イベントとコンプライアンスに関する分析情報を提供します。NetApp Ransomware Resilienceは、脅威の分析と検出を効率化するために、SIEMにデータを自動的に送信することをサポートします。

NetApp Ransomware Resilience は次の SIEM をサポートしています:

  • AWS Security Hub

  • Microsoft Sentinel

  • Splunk Cloud

Ransomware Resilience で SIEM を有効にする前に、SIEM システムを構成する必要があります。

SIEMに送信されるイベントデータ

Ransomware Resilience は、次のイベント データを SIEM システムに送信できます。

  • コンテクスト

    • os: これはONTAPの値を持つ定数です。

    • os_version: システムで実行されているONTAPのバージョン。

    • connector_id: システムを管理するコンソールエージェントの ID。

    • cluster_id: システムのONTAPによって報告されたクラスタ ID。

    • svm_name: アラートが見つかった SVM の名前。

    • volume_name: アラートが見つかったボリュームの名前。

    • volume_id: システムのONTAPによって報告されたボリュームの ID。

  • 事件

    • incident_id: Ransomware Resilience で攻撃を受けているボリュームに対して Ransomware Resilience によって生成されたインシデント ID。

    • alert_id: ワークロードに対して Ransomware Resilience によって生成された ID。

    • 重大度: 次のアラート レベルのいずれか: 「CRITICAL」、「HIGH」、「MEDIUM」、「LOW」。

    • 説明: 検出されたアラートの詳細。例: 「ワークロード arp_learning_mode_test_2630 で潜在的なランサムウェア攻撃が検出されました」

脅威検出用に AWS Security Hub を構成する

Ransomware Resilience で AWS Security Hub を有効にする前に、AWS Security Hub で次の大まかな手順を実行する必要があります:

  • AWS Security Hub で権限を設定します。

  • AWS Security Hub で認証アクセスキーとシークレットキーを設定します。 (これらの手順はここでは説明しません。)

AWS Security Hubで権限を設定する手順

  1. AWS IAM コンソール に移動します。

  2. *ポリシー*を選択します。

  3. 次の JSON 形式のコードを使用してポリシーを作成します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

脅威検出用に Microsoft Sentinel を構成する

Ransomware Resilience で Microsoft Sentinel を有効にする前に、Microsoft Sentinel で次の大まかな手順を実行する必要があります。

  • 前提条件

    • Microsoft Sentinel を有効にします。

    • Microsoft Sentinel でカスタム ロールを作成します。

  • 登録

    • Microsoft Sentinel からイベントを受信するには、Ransomware Resilience を登録します。

    • 登録用のシークレットを作成します。

  • 権限: アプリケーションに権限を割り当てます。

  • 認証: アプリケーションの認証資格情報を入力します。

Microsoft Sentinelを有効にする手順

  1. Microsoft Sentinel にアクセスします。

  2. Log Analytics ワークスペース を作成します。

  3. 作成した Log Analytics ワークスペースを Microsoft Sentinel で使用できるようにします。

Microsoft Sentinelでカスタムロールを作成する手順

  1. Microsoft Sentinel にアクセスします。

  2. サブスクリプション > アクセス制御 (IAM) を選択します。

  3. カスタム ロール名を入力します。 Ransomware Resilience Sentinel Configurator という名前を使用します。

  4. 次の JSON をコピーして、JSON タブに貼り付けます。

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. 設定を確認して保存します。

Microsoft Sentinelからイベントを受信するためにRansomware Resilienceを登録する手順

  1. Microsoft Sentinel にアクセスします。

  2. Entra ID > アプリケーション > *アプリ登録*を選択します。

  3. アプリケーションの*表示名*に「Ransomware Resilience」と入力します。

  4. サポートされているアカウントの種類 フィールドで、この組織ディレクトリ内のアカウントのみ を選択します。

  5. イベントがプッシュされる*デフォルト インデックス*を選択します。

  6. *レビュー*を選択します。

  7. 設定を保存するには、[登録] を選択します。

    登録後、Microsoft Entra 管理センターにアプリケーションの概要ペインが表示されます。

登録用のシークレットを作成する手順

  1. Microsoft Sentinel にアクセスします。

  2. 証明書とシークレット > クライアント シークレット > *新しいクライアント シークレット*を選択します。

  3. アプリケーション シークレットの説明を追加します。

  4. シークレットの*有効期限*を選択するか、カスタム有効期間を指定します。

    ヒント クライアント シークレットの有効期間は 2 年 (24 か月) 以下に制限されます。 Microsoft では、有効期限を 12 か月未満に設定することをお勧めします。

  5. シークレットを作成するには、[追加] を選択します。

  6. 認証手順で使用するシークレットを記録します。このページを離れた後、秘密は再び表示されることはありません。

アプリケーションに権限を割り当てる手順

  1. Microsoft Sentinel にアクセスします。

  2. サブスクリプション > アクセス制御 (IAM) を選択します。

  3. 追加 > *ロールの割り当てを追加*を選択します。

  4. 特権管理者ロール フィールドで、Ransomware Resilience Sentinel Configurator を選択します。

    ヒント これは先ほど作成したカスタム ロールです。

  5. *次へ*を選択します。

  6. アクセスの割り当て先 フィールドで、ユーザー、グループ、またはサービス プリンシパル を選択します。

  7. メンバーを選択*を選択します。次に、「*Ransomware Resilience Sentinel Configurator」を選択します。

  8. *次へ*を選択します。

  9. ユーザーが実行できる操作 フィールドで、特権管理者ロール (所有者、UAA、RBAC) を除くすべてのロールの割り当てをユーザーに許可する (推奨) を選択します。

  10. *次へ*を選択します。

  11. 権限を割り当てるには、[確認して割り当て] を選択します。

アプリケーションの認証資格情報を入力する手順

  1. Microsoft Sentinel にアクセスします。

  2. 資格情報を入力してください:

    1. テナント ID、クライアント アプリケーション ID、およびクライアント アプリケーション シークレットを入力します。

    2. Authenticate を選択します。

      メモ 認証が成功すると、「認証済み」というメッセージが表示されます。

  3. アプリケーションの Log Analytics ワークスペースの詳細を入力します。

    1. サブスクリプション ID、リソース グループ、Log Analytics ワークスペースを選択します。

脅威検出用にSplunk Cloudを構成する

Ransomware Resilience で Splunk Cloud を有効にする前に、Splunk Cloud で次の大まかな手順を実行する必要があります。

  • Splunk Cloud の HTTP イベント コレクターを有効にして、コンソールから HTTP または HTTPS 経由でイベント データを受信します。

  • Splunk Cloud でイベント コレクター トークンを作成します。

SplunkでHTTPイベントコレクターを有効にする手順

  1. Splunk Cloud に移動します。

  2. 設定 > *データ入力*を選択します。

  3. HTTP イベント コレクター > グローバル設定 を選択します。

  4. [すべてのトークン] トグルで、[有効] を選択します。

  5. イベント コレクターが HTTP ではなく HTTPS 経由でリッスンして通信するようにするには、[SSL を有効にする] を選択します。

  6. HTTP イベント コレクターの HTTP ポート番号 にポートを入力します。

Splunkでイベントコレクタートークンを作成する手順

  1. Splunk Cloud に移動します。

  2. 設定 > *データの追加*を選択します。

  3. モニター > HTTP イベント コレクター を選択します。

  4. トークンの名前を入力し、[次へ] を選択します。

  5. イベントがプッシュされる デフォルト インデックス を選択し、レビュー を選択します。

  6. エンドポイントのすべての設定が正しいことを確認し、[送信] を選択します。

  7. トークンをコピーして別のドキュメントに貼り付け、認証手順の準備を整えます。

ランサムウェア耐性におけるSIEMの接続

SIEM を有効にすると、脅威の分析とレポートのために、Ransomware Resilience から SIEM サーバーにデータが送信されます。

手順

  1. コンソール メニューから、保護 > ランサムウェア耐性 を選択します。

  2. ランサムウェア耐性メニューから、垂直方向の垂直アクション…​ 右上のオプションをクリックします。

  3. *設定*を選択します。

    設定ページが表示されます。

    設定ページ

  4. [設定] ページで、SIEM 接続タイルの [接続] を選択します。

    脅威検出の詳細ページを有効にする

  5. SIEM システムの 1 つを選択します。

  6. AWS Security Hub または Splunk Cloud で設定したトークンと認証の詳細を入力します。

    メモ 入力する情報は、選択した SIEM によって異なります。

  7. *有効*を選択します。

    設定ページに「接続済み」と表示されます。