Skip to main content
BlueXP ransomware protection
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

BlueXP 랜섬웨어 보호 설정을 구성합니다

기여자

설정 * 옵션에 액세스하여 백업 대상을 구성하거나, 위협 감지를 활성화하거나, Data Infrastructure Insights 워크로드 보안에 대한 연결을 구성할 수 있습니다. 위협 감지를 활성화하면 위협 분석을 위해 데이터를 SIEM(보안 및 이벤트 관리 시스템)으로 자동으로 전송합니다.

설정 페이지에서 다음을 수행할 수 있습니다.

  • Data Infrastructure Insights 워크로드 보안에 대한 연결을 구성하여 랜섬웨어 경고에서 의심스러운 사용자 정보를 확인합니다.

  • 백업 대상을 추가합니다.

  • 보안 및 이벤트 관리 시스템(SIEM)을 연결하여 위협 분석 및 감지를 수행할 수 있습니다.

설정 페이지에 직접 액세스합니다

상단 메뉴 근처의 동작 옵션에서 설정 페이지에 쉽게 액세스할 수 있습니다.

  1. BlueXP 랜섬웨어 방어 메뉴에서 업종을 선택합니다 수직 동작오른쪽 위에 있는 옵션.

  2. 드롭다운 메뉴에서 * 설정 * 을 선택합니다.

Data Infrastructure Insights 워크로드 보안에 연결하여 의심스러운 비정상적인 사용자 행동을 확인하십시오

BlueXP  랜섬웨어 보호에서 의심스러운 비정상적인 사용자 행동의 세부 정보를 보려면 Data Infrastructure Insights 워크로드 보안 시스템에 대한 연결을 구성해야 합니다.

Data Infrastructure Insights 워크로드 보안 시스템에서 API 액세스 토큰을 얻습니다

Data Infrastructure Insights 워크로드 보안 시스템에서 API 액세스 토큰을 얻습니다.

  1. Data Infrastructure Insights 워크로드 보안 시스템에 로그인합니다.

  2. 왼쪽 탐색 모음에서 * Admin * > * API Access * 를 선택합니다.

    Data Infrastructure Insights 워크로드 보안의 API 액세스 페이지

  3. API 액세스 토큰을 생성하거나 기존 토큰을 사용하십시오.

  4. API 액세스 토큰을 복사합니다.

Data Infrastructure Insights 워크로드 보안에 연결합니다

  1. BlueXP  랜섬웨어 차단 설정 메뉴에서 * 워크로드 보안 연결 * 을 선택합니다.

  2. Connect * 를 선택합니다.

  3. 데이터 인프라 워크로드 보안 UI에 대한 URL을 입력합니다.

  4. 워크로드 보안에 대한 액세스를 제공하는 API 액세스 토큰을 입력합니다.

  5. Connect * 를 선택합니다.

백업 대상을 추가합니다

BlueXP 랜섬웨어 방어 기능은 아직 백업이 없는 워크로드와 아직 백업 대상이 할당되지 않은 워크로드를 식별할 수 있습니다.

이러한 워크로드를 보호하려면 백업 대상을 추가해야 합니다. 다음 백업 대상 중 하나를 선택할 수 있습니다.

  • NetApp StorageGRID를 참조하십시오

  • AWS(Amazon Web Services)

  • Google 클라우드 플랫폼

  • Microsoft Azure를 참조하십시오

대시보드에서 권장하는 작업을 기반으로 백업 대상을 추가하거나 메뉴의 설정 옵션에 액세스하여 백업 대상을 추가할 수 있습니다.

대시보드의 권장 작업에서 백업 대상 옵션에 액세스합니다

대시보드에는 여러 가지 권장 사항이 나와 있습니다. 한 가지 권장 사항은 백업 대상을 구성하는 것입니다.

단계
  1. BlueXP 왼쪽 탐색 창에서 * 보호 * > * 랜섬웨어 방어 * 를 선택하십시오.

  2. 대시보드의 권장 작업 창을 검토합니다.

    대시보드 페이지

  3. 대시보드에서 "Prepare as a backup destination(백업 대상으로 <backup provider> 준비)"의 권장 사항에 대해 * Review and fix(검토 및 수정) * 를 선택합니다.

  4. 백업 공급자에 따라 지침을 계속합니다.

StorageGRID를 백업 대상으로 추가합니다

NetApp StorageGRID를 백업 대상으로 설정하려면 다음 정보를 입력합니다.

단계
  1. 설정 > 백업 대상 * 페이지에서 * 추가 * 를 선택합니다.

  2. 백업 대상의 이름을 입력합니다.

    백업 대상 페이지

  3. StorageGRID * 를 선택합니다.

  4. 각 설정 옆에 있는 아래쪽 화살표를 선택하고 값을 입력하거나 선택합니다.

    • * 공급자 설정 *:

      • 새 버킷을 만들거나 백업을 저장할 고유 버킷을 가져오십시오.

      • StorageGRID 게이트웨이 노드 정규화된 도메인 이름, 포트, StorageGRID 액세스 키 및 비밀 키 자격 증명.

    • * 네트워킹 *: IPspace를 선택합니다.

      • IPspace는 백업하려는 볼륨이 상주하는 클러스터입니다. 이 IPspace용 인터클러스터 LIF는 아웃바운드 인터넷 액세스를 가져야 합니다.

  5. 추가 * 를 선택합니다.

결과

새 백업 대상이 백업 대상 목록에 추가됩니다.

백업 대상 페이지 설정 옵션

Amazon Web Services를 백업 대상으로 추가합니다

AWS를 백업 대상으로 설정하려면 다음 정보를 입력합니다.

BlueXP에서 AWS 스토리지를 관리하는 방법에 대한 자세한 내용은 을 참조하십시오 "Amazon S3 버킷을 관리합니다".

단계
  1. 설정 > 백업 대상 * 페이지에서 * 추가 * 를 선택합니다.

  2. 백업 대상의 이름을 입력합니다.

    백업 대상 페이지

  3. Amazon Web Services * 를 선택합니다.

  4. 각 설정 옆에 있는 아래쪽 화살표를 선택하고 값을 입력하거나 선택합니다.

    • * 공급자 설정 *:

    • * 암호화 * : 새 S3 버킷을 만드는 경우 공급자로부터 받은 암호화 키 정보를 입력하십시오. 기존 버킷을 선택한 경우 암호화 정보를 이미 사용할 수 있습니다.

      버킷의 데이터는 기본적으로 AWS 관리형 키로 암호화됩니다. 계속해서 AWS에서 관리하는 키를 사용하거나 자체 키를 사용하여 데이터 암호화를 관리할 수 있습니다.

    • * 네트워킹 * : IPspace를 선택하고 개인 엔드포인트를 사용할 것인지 여부를 선택하십시오.

      • IPspace는 백업하려는 볼륨이 상주하는 클러스터입니다. 이 IPspace용 인터클러스터 LIF는 아웃바운드 인터넷 액세스를 가져야 합니다.

      • 필요에 따라 이전에 구성한 AWS 개인 끝점(PrivateLink)을 사용할지 여부를 선택합니다.

        AWS PrivateLink를 사용하려면 을 참조하십시오 "Amazon S3를 위한 AWS PrivateLink".

    • * 백업 잠금 * : 서비스를 통해 백업 수정 또는 삭제로부터 백업을 보호할지 여부를 선택합니다. 이 옵션은 NetApp DataLock 기술을 사용합니다. 각 백업은 보존 기간 동안 또는 최소 30일 동안 잠기고 최대 14일의 버퍼 기간이 추가됩니다.

      주의 지금 백업 잠금 설정을 구성하는 경우 백업 대상을 구성한 후에는 나중에 설정을 변경할 수 없습니다.
      • * Governance mode *: 특정 사용자(S3:BypassGovernanceRetention 권한이 있음)는 보존 기간 동안 보호된 파일을 덮어쓰거나 삭제할 수 있습니다.

      • * 규정 준수 모드 *: 보존 기간 동안 사용자는 보호된 백업 파일을 덮어쓰거나 삭제할 수 없습니다.

  5. 추가 * 를 선택합니다.

결과

새 백업 대상이 백업 대상 목록에 추가됩니다.

백업 대상 페이지 설정 옵션

Google Cloud Platform을 백업 대상으로 추가합니다

GCP(Google Cloud Platform)를 백업 대상으로 설정하려면 다음 정보를 입력합니다.

BlueXP 에서 GCP 스토리지를 관리하는 방법에 대한 자세한 내용은 을 참조하십시오 "Google Cloud의 커넥터 설치 옵션".

단계
  1. 설정 > 백업 대상 * 페이지에서 * 추가 * 를 선택합니다.

  2. 백업 대상의 이름을 입력합니다.

    백업 대상 페이지

  3. Google Cloud Platform * 을 선택합니다.

  4. 각 설정 옆에 있는 아래쪽 화살표를 선택하고 값을 입력하거나 선택합니다.

    • * 공급자 설정 *:

      • 새 버킷을 만듭니다. 액세스 키와 비밀 키를 입력합니다.

      • Google Cloud Platform 프로젝트 및 지역을 입력하거나 선택합니다.

    • * 암호화 * : 새 버킷을 만드는 경우 제공자로부터 받은 암호화 키 정보를 입력하십시오. 기존 버킷을 선택한 경우 암호화 정보를 이미 사용할 수 있습니다.

      버킷의 데이터는 기본적으로 Google 관리형 키로 암호화된다. Google에서 관리하는 키를 계속 사용할 수 있습니다.

    • * 네트워킹 * : IPspace를 선택하고 개인 엔드포인트를 사용할 것인지 여부를 선택하십시오.

      • IPspace는 백업하려는 볼륨이 상주하는 클러스터입니다. 이 IPspace용 인터클러스터 LIF는 아웃바운드 인터넷 액세스를 가져야 합니다.

      • 필요에 따라 이전에 구성한 GCP 개인 끝점(PrivateLink)을 사용할지 여부를 선택합니다.

  5. 추가 * 를 선택합니다.

결과

새 백업 대상이 백업 대상 목록에 추가됩니다.

Microsoft Azure를 백업 대상으로 추가합니다

Azure를 백업 대상으로 설정하려면 다음 정보를 입력합니다.

BlueXP에서 Azure 자격 증명 및 마켓플레이스 가입을 관리하는 방법에 대한 자세한 내용은 를 참조하십시오 "Azure 자격 증명 및 마켓플레이스 가입을 관리합니다".

단계
  1. 설정 > 백업 대상 * 페이지에서 * 추가 * 를 선택합니다.

  2. 백업 대상의 이름을 입력합니다.

    백업 대상 페이지

  3. Azure * 를 선택합니다.

  4. 각 설정 옆에 있는 아래쪽 화살표를 선택하고 값을 입력하거나 선택합니다.

    • * 공급자 설정 *:

    • * 암호화 *: 새 저장소 계정을 만드는 경우 공급자로부터 받은 암호화 키 정보를 입력합니다. 기존 계정을 선택한 경우 암호화 정보를 사용할 수 있습니다.

      계정의 데이터는 기본적으로 Microsoft에서 관리하는 키로 암호화됩니다. Microsoft에서 관리하는 키를 계속 사용하거나 사용자 고유의 키를 사용하여 데이터 암호화를 관리할 수 있습니다.

    • * 네트워킹 * : IPspace를 선택하고 개인 엔드포인트를 사용할 것인지 여부를 선택하십시오.

      • IPspace는 백업하려는 볼륨이 상주하는 클러스터입니다. 이 IPspace용 인터클러스터 LIF는 아웃바운드 인터넷 액세스를 가져야 합니다.

      • 필요한 경우 이전에 구성한 Azure 개인 끝점을 사용할지 여부를 선택합니다.

        Azure PrivateLink를 사용하려면 을 참조하십시오 "Azure PrivateLink입니다".

  5. 추가 * 를 선택합니다.

결과

새 백업 대상이 백업 대상 목록에 추가됩니다.

백업 대상 페이지 설정 옵션

위협 감지를 활성화합니다

위협 분석 및 감지를 위해 SIEM(Security and Event Management System)으로 데이터를 자동으로 전송할 수 있습니다. AWS Security Hub, Microsoft Sentinel 또는 Splunk Cloud를 SIEM으로 선택할 수 있습니다.

BlueXP  랜섬웨어 차단에서 SIEM을 사용하려면 먼저 SIEM 시스템을 구성해야 합니다.

위협 감지를 위해 AWS Security Hub를 구성합니다

BlueXP  랜섬웨어 차단에서 AWS 보안 허브를 활성화하기 전에 AWS 보안 허브에서 다음과 같은 개괄적인 단계를 수행해야 합니다.

  • AWS Security Hub에서 사용 권한을 설정합니다.

  • AWS Security Hub에서 인증 액세스 키 및 비밀 키를 설정합니다. (이 단계는 여기에 제공되지 않습니다.)

AWS Security Hub에서 사용 권한을 설정하는 단계입니다
  1. AWS IAM 콘솔 * 으로 이동합니다.

  2. Policies * 를 선택합니다.

  3. JSON 형식으로 다음 코드를 사용하여 정책을 생성합니다.

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "NetAppSecurityHubFindings",
          "Effect": "Allow",
          "Action": [
            "securityhub:BatchImportFindings",
            "securityhub:BatchUpdateFindings"
          ],
          "Resource": [
            "arn:aws:securityhub:*:*:product/*/default",
            "arn:aws:securityhub:*:*:hub/default"
          ]
        }
      ]
    }

위협 감지를 위해 Microsoft Sentinel을 구성합니다

Microsoft Sentinel in BlueXP  랜섬웨어 보호를 활성화하려면 먼저 Microsoft Sentinel에서 다음과 같은 고급 단계를 수행해야 합니다.

  • * 필수 구성 요소 *

    • Microsoft Sentinel을 활성화합니다.

    • Microsoft Sentinel에서 사용자 지정 역할을 만듭니다.

  • * 등록 *

    • Microsoft Sentinel의 이벤트를 수신하려면 BlueXP  랜섬웨어 차단 기능을 등록하십시오.

    • 등록 암호를 만듭니다.

  • * 권한 *: 응용 프로그램에 권한을 할당합니다.

  • * 인증 *: 응용 프로그램에 대한 인증 자격 증명을 입력합니다.

Microsoft Sentinel을 활성화하는 단계입니다
  1. Microsoft Sentinel로 이동합니다.

  2. 로그 분석 작업 공간 * 을 만듭니다.

  3. 방금 만든 로그 분석 작업 영역을 사용하려면 Microsoft Sentinel을 활성화합니다.

Microsoft Sentinel에서 사용자 지정 역할을 만드는 단계입니다
  1. Microsoft Sentinel로 이동합니다.

  2. Subscription * > * Access control(IAM) * 을 선택합니다.

  3. 사용자 지정 역할 이름을 입력합니다. * BlueXP  랜섬웨어 방어 감시 도구 * 라는 이름을 사용하십시오.

  4. 다음 JSON을 복사하여 * JSON * 탭에 붙여 넣습니다.

    {
      "roleName": "BlueXP Ransomware Protection Sentinel Configurator",
      "description": "",
      "assignableScopes":["/subscriptions/{subscription_id}"],
      "permissions": [
    
      ]
    }
  5. 설정을 검토하고 저장합니다.

Microsoft Sentinel에서 이벤트를 수신하기 위해 BlueXP  랜섬웨어 방어를 등록하는 단계입니다
  1. Microsoft Sentinel로 이동합니다.

  2. Entra ID * > * Applications * > * * App Registration * 을 선택합니다.

  3. 응용 프로그램의 * 표시 이름 * 에 " * BlueXP  랜섬웨어 방지 * "를 입력합니다.

  4. 지원되는 계정 유형 * 필드에서 * 이 조직 디렉터리에만 있는 계정 * 을 선택합니다.

  5. 이벤트가 푸시될 * 기본 색인 * 을 선택합니다.

  6. Review * 를 선택합니다.

  7. 설정을 저장하려면 * 등록 * 을 선택하십시오.

    등록 후 Microsoft Entra 관리 센터에 애플리케이션 개요 창이 표시됩니다.

등록 암호를 만드는 단계입니다
  1. Microsoft Sentinel로 이동합니다.

  2. 인증서 및 암호 * > * 클라이언트 암호 * > * 새 클라이언트 암호 * 를 선택합니다.

  3. 응용 프로그램 암호에 대한 설명을 추가합니다.

  4. 비밀번호에 대한 * 만료 * 를 선택하거나 사용자 정의 수명을 지정합니다.

    팁 클라이언트 비밀 수명은 2년(24개월) 이하로 제한됩니다. 만료 값을 12개월 미만으로 설정하는 것이 좋습니다.
  5. 암호를 만들려면 * 추가 * 를 선택하십시오.

  6. 인증 단계에서 사용할 암호를 기록합니다. 이 페이지를 나간 후에는 암호가 다시 표시되지 않습니다.

응용 프로그램에 권한을 할당하는 단계입니다
  1. Microsoft Sentinel로 이동합니다.

  2. Subscription * > * Access control(IAM) * 을 선택합니다.

  3. Add * > * Role Assignment * 를 선택합니다.

  4. 특별 권한 관리자 역할 * 필드에서 * BlueXP  랜섬웨어 보호 감시 기능 * 을 선택합니다.

    팁 이 역할은 앞서 만든 사용자 지정 역할입니다.
  5. 다음 * 을 선택합니다.

  6. Assign access to * 필드에서 * User, group 또는 service principal * 을 선택합니다.

  7. 구성원 선택 * 을 선택합니다. 그런 다음 * BlueXP  랜섬웨어 방지 감시 기능 * 을 선택합니다.

  8. 다음 * 을 선택합니다.

  9. * 사용자가 수행할 수 있는 작업 * 에서 * 권한이 있는 관리자 역할 소유자, UAA, RBAC(권장) * 를 제외한 모든 역할을 할당할 수 있도록 허용 * 을 선택합니다.

  10. 다음 * 을 선택합니다.

  11. 검토 및 할당 * 을 선택하여 권한을 할당합니다.

응용 프로그램의 인증 자격 증명을 입력하는 단계입니다
  1. Microsoft Sentinel로 이동합니다.

  2. 자격 증명을 입력합니다.

    1. 테넌트 ID, 클라이언트 응용 프로그램 ID 및 클라이언트 응용 프로그램 암호를 입력합니다.

    2. 인증 * 을 클릭합니다.

      참고 인증에 성공하면 "인증됨" 메시지가 나타납니다.
  3. 응용 프로그램에 대한 로그 분석 작업 공간 세부 정보를 입력합니다.

    1. 구독 ID, 리소스 그룹 및 로그 분석 작업 영역을 선택합니다.

위협 감지를 위해 Splunk Cloud를 구성합니다

BlueXP  랜섬웨어 차단에서 Splunk Cloud를 사용하려면 먼저 Splunk Cloud에서 다음과 같은 개괄적인 단계를 수행해야 합니다.

  • BlueXP 의 HTTP 또는 HTTPS를 통해 이벤트 데이터를 수신하도록 Splunk Cloud에서 HTTP 이벤트 수집기를 설정합니다.

  • Splunk Cloud에서 이벤트 수집기 토큰을 생성합니다.

Splunk에서 HTTP 이벤트 수집기를 활성화하는 단계입니다
  1. Splunk Cloud로 이동하십시오.

  2. 설정 * > * 데이터 입력 * 을 선택합니다.

  3. HTTP 이벤트 수집기 * > * 글로벌 설정 * 을 선택합니다.

  4. 모든 토큰 토글에서 * 사용 * 을 선택합니다.

  5. 이벤트 수집기가 HTTP가 아닌 HTTPS를 통해 수신 및 통신하도록 하려면 * SSL 활성화 * 를 선택합니다.

  6. HTTP Event Collector의 HTTP Port Number * 에 포트를 입력합니다.

Splunk에서 이벤트 수집기 토큰을 생성하는 단계입니다
  1. Splunk Cloud로 이동하십시오.

  2. 설정 * > * 데이터 추가 * 를 선택합니다.

  3. Monitor * > * HTTP Event Collector * 를 선택합니다.

  4. 토큰의 이름을 입력하고 * Next * 를 선택합니다.

  5. 이벤트가 푸시될 * 기본 색인 * 을 선택한 다음 * 검토 * 를 선택합니다.

  6. 끝점에 대한 모든 설정이 올바른지 확인한 다음 * 제출 * 을 선택합니다.

  7. 토큰을 복사하여 다른 문서에 붙여 넣어 인증 단계를 준비합니다.

BlueXP  랜섬웨어 방어에 SIEM을 연결하십시오

SIEM을 사용하면 위협 분석 및 보고를 위해 BlueXP  랜섬웨어 방어 기능에서 SIEM 서버로 데이터를 전송할 수 있습니다.

단계
  1. BlueXP  메뉴에서 * 보호 * > * 랜섬웨어 방어 * 를 선택합니다.

  2. BlueXP 랜섬웨어 방어 메뉴에서 업종을 선택합니다 수직 동작오른쪽 위에 있는 옵션.

  3. 설정 * 을 선택합니다.

    설정 페이지가 나타납니다.

    설정 페이지

  4. 설정 페이지에서 SIEM 연결 타일에서 * 연결 * 을 선택합니다.

    위협 감지 세부 정보 페이지를 활성화합니다

  5. SIEM 시스템 중 하나를 선택하십시오.

  6. AWS Security Hub 또는 Splunk Cloud에서 구성한 토큰 및 인증 세부 정보를 입력합니다.

    참고 입력하는 정보는 선택한 SIEM에 따라 다릅니다.
  7. 활성화 * 를 선택합니다.

    설정 페이지에 "연결됨"이 표시됩니다.