Skip to main content
BlueXP ransomware protection
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar as configurações de proteção contra ransomware do BlueXP 

Colaboradores
PDFs

Você pode configurar um destino de backup, habilitar a deteção de ameaças ou configurar a conexão com a segurança de carga de trabalho do Data Infrastructure Insights acessando a opção Configurações. A ativação da deteção de ameaças envia automaticamente dados para o seu sistema de gerenciamento de eventos e segurança (SIEM) para análise de ameaças.

Na página Configurações, você pode fazer o seguinte:

  • Configure a conexão com a segurança de workload do Data Infrastructure Insights para ver informações suspeitas de usuários em alertas de ransomware.

  • Adicionar um destino de cópia de segurança.

  • Conete seu sistema de gerenciamento de eventos e segurança (SIEM) para análise e deteção de ameaças.

Acesse a página Configurações diretamente

Pode aceder facilmente à página Definições a partir da opção ações junto do menu superior.

  1. No menu de proteção contra ransomware BlueXP , selecione a Ações verticaisopção vertical …​ no canto superior direito.

  2. No menu suspenso, selecione Configurações.

Conecte-se à segurança do workload do Data Infrastructure Insights para ver comportamentos anormais de usuários suspeitos

Antes de visualizar detalhes sobre comportamentos anormais de usuários suspeitos na proteção contra ransomware do BlueXP , é necessário configurar a conexão com o sistema de segurança de workload do Insights da infraestrutura de dados.

Obtenha um token de acesso à API do sistema de segurança Data Infrastructure Insights Workload

Obtenha um token de acesso à API do sistema de segurança Data Infrastructure Insights Workload.

  1. Faça login no sistema de segurança de workload do Data Infrastructure Insights.

  2. Na navegação à esquerda, selecione Admin > API Access.

    Página de acesso à API na segurança de workload do Data Infrastructure Insights

  3. Crie um token de acesso à API ou use um já existente.

  4. Copie o token de acesso à API.

Conecte-se à segurança de workload do Data Infrastructure Insights

  1. No menu Configurações de proteção contra ransomware do BlueXP , selecione conexão de segurança de carga de trabalho.

  2. Selecione Connect.

  3. Insira o URL da interface de usuário de segurança de carga de trabalho da infraestrutura de dados.

  4. Insira o token de acesso à API que fornece acesso à segurança do Workload.

  5. Selecione Connect.

Adicionar um destino de cópia de segurança

A proteção contra ransomware do BlueXP  identifica workloads que ainda não têm backups e também workloads que ainda não têm destinos de backup atribuídos.

Para proteger esses workloads, você deve adicionar um destino de backup. Você pode escolher um dos seguintes destinos de backup:

  • NetApp StorageGRID

  • Amazon Web Services (AWS)

  • Google Cloud Platform

  • Microsoft Azure

Pode adicionar um destino de cópia de segurança com base numa ação recomendada a partir do Painel de controlo ou a partir do acesso à opção Definições no menu.

Aceda às opções de destino da cópia de segurança a partir das ações recomendadas do Painel de controlo

O Dashboard fornece muitas recomendações. Uma recomendação pode ser configurar um destino de backup.

Passos

  1. Na navegação à esquerda do BlueXP , selecione proteção > proteção contra ransomware.

  2. Revise o painel ações recomendadas do Dashboard.

    Página do painel de instrumentos

  3. No Painel, selecione Rever e corrigir para a recomendação de "preparar <backup provider> como destino de backup".

  4. Continue com as instruções, dependendo do provedor de backup.

Adicione StorageGRID como destino de backup

Para configurar o NetApp StorageGRID como destino de cópia de segurança, introduza as seguintes informações.

Passos

  1. Na página Definições > Destinos de cópia de segurança, selecione Adicionar.

  2. Introduza um nome para o destino da cópia de segurança.

    Página de destinos de backup

  3. Selecione StorageGRID.

  4. Selecione a seta para baixo junto a cada definição e introduza ou selecione valores:

    • * Configurações do provedor*:

      • Crie um novo bucket ou traga seu próprio bucket que armazenará os backups.

      • Nome de domínio, porta, chave de acesso StorageGRID e credenciais de chave secreta totalmente qualificadas do nó de gateway StorageGRID.

    • Networking: Escolha o IPspace.

      • O IPspace é o cluster onde residem os volumes que você deseja fazer backup. As LIFs entre clusters para este espaço IPspace devem ter acesso de saída à Internet.

  5. Selecione Adicionar.

Resultado

O novo destino de cópia de segurança é adicionado à lista de destinos de cópia de segurança.

Página de destinos de backup a opção Configurações

Adicione o Amazon Web Services como destino de backup

Para configurar a AWS como um destino de backup, insira as informações a seguir.

Para obter detalhes sobre como gerenciar seu storage da AWS no BlueXP , "Gerencie seus buckets do Amazon S3" consulte .

Passos

  1. Na página Definições > Destinos de cópia de segurança, selecione Adicionar.

  2. Introduza um nome para o destino da cópia de segurança.

    Página de destinos de backup

  3. Selecione Amazon Web Services.

  4. Selecione a seta para baixo junto a cada definição e introduza ou selecione valores:

    • * Configurações do provedor*:

    • Criptografia: Se você estiver criando um novo bucket do S3, insira as informações da chave de criptografia fornecidas pelo provedor. Se você escolher um bucket existente, as informações de criptografia já estarão disponíveis.

      Por padrão, os dados no bucket são criptografados com chaves gerenciadas pela AWS. Você pode continuar usando chaves gerenciadas pela AWS ou gerenciar a criptografia de seus dados usando suas próprias chaves.

    • Networking: Escolha o IPspace e se você usará um endpoint privado.

      • O IPspace é o cluster onde residem os volumes que você deseja fazer backup. As LIFs entre clusters para este espaço IPspace devem ter acesso de saída à Internet.

      • Opcionalmente, escolha se você usará um endpoint privado da AWS (PrivateLink) que você configurou anteriormente.

        Se você quiser usar o AWS PrivateLink, "AWS PrivateLink para Amazon S3" consulte .

    • Bloqueio de backup: Escolha se você deseja que o serviço proteja os backups de serem modificados ou excluídos. Esta opção usa a tecnologia NetApp DataLock. Cada backup será bloqueado durante o período de retenção, ou por um mínimo de 30 dias, além de um período de buffer de até 14 dias.

      Cuidado Se você configurar a configuração de bloqueio de backup agora, não poderá alterar a configuração mais tarde depois que o destino de backup for configurado.

      • Modo de governança: Usuários específicos (com permissão S3:BypassGovernanceRetention) podem substituir ou excluir arquivos protegidos durante o período de retenção.

      • Modo de conformidade: Os usuários não podem substituir ou excluir arquivos de backup protegidos durante o período de retenção.

  5. Selecione Adicionar.

Resultado

O novo destino de cópia de segurança é adicionado à lista de destinos de cópia de segurança.

Página de destinos de backup a opção Configurações

Adicione o Google Cloud Platform como destino de backup

Para configurar o Google Cloud Platform (GCP) como destino de backup, insira as informações a seguir.

Para obter detalhes sobre como gerenciar o armazenamento do GCP no BlueXP , "Opções de instalação do conetor no Google Cloud" consulte .

Passos

  1. Na página Definições > Destinos de cópia de segurança, selecione Adicionar.

  2. Introduza um nome para o destino da cópia de segurança.

    Página de destinos de backup

  3. Selecione Google Cloud Platform.

  4. Selecione a seta para baixo junto a cada definição e introduza ou selecione valores:

    • * Configurações do provedor*:

      • Crie um novo bucket. Introduza a chave de acesso e a chave secreta.

      • Insira ou selecione seu projeto e região do Google Cloud Platform.

    • Criptografia: Se você estiver criando um novo bucket, insira as informações da chave de criptografia fornecidas pelo provedor. Se você escolher um bucket existente, as informações de criptografia já estarão disponíveis.

      Os dados no intervalo são criptografados com chaves gerenciadas pelo Google por padrão. Você pode continuar a usar as chaves gerenciadas pelo Google.

    • Networking: Escolha o IPspace e se você usará um endpoint privado.

      • O IPspace é o cluster onde residem os volumes que você deseja fazer backup. As LIFs entre clusters para este espaço IPspace devem ter acesso de saída à Internet.

      • Opcionalmente, escolha se você usará um endpoint privado do GCP (PrivateLink) que você configurou anteriormente.

  5. Selecione Adicionar.

Resultado

O novo destino de cópia de segurança é adicionado à lista de destinos de cópia de segurança.

Adicione o Microsoft Azure como destino de backup

Para configurar o Azure como um destino de backup, insira as seguintes informações.

Para obter detalhes sobre como gerenciar suas credenciais do Azure e assinaturas de marketplace no BlueXP , "Gerencie suas credenciais do Azure e assinaturas do marketplace" consulte .

Passos

  1. Na página Definições > Destinos de cópia de segurança, selecione Adicionar.

  2. Introduza um nome para o destino da cópia de segurança.

    Página de destinos de backup

  3. Selecione Azure.

  4. Selecione a seta para baixo junto a cada definição e introduza ou selecione valores:

    • * Configurações do provedor*:

    • Criptografia: Se você estiver criando uma nova conta de armazenamento, insira as informações da chave de criptografia fornecidas pelo provedor. Se você escolher uma conta existente, as informações de criptografia já estarão disponíveis.

      Por padrão, os dados na conta são criptografados com chaves gerenciadas pela Microsoft. Pode continuar a utilizar chaves geridas pela Microsoft ou pode gerir a encriptação dos seus dados utilizando as suas próprias chaves.

    • Networking: Escolha o IPspace e se você usará um endpoint privado.

      • O IPspace é o cluster onde residem os volumes que você deseja fazer backup. As LIFs entre clusters para este espaço IPspace devem ter acesso de saída à Internet.

      • Opcionalmente, escolha se você usará um endpoint privado do Azure que você configurou anteriormente.

        Se você quiser usar o Azure PrivateLink, "Azure PrivateLink" consulte .

  5. Selecione Adicionar.

Resultado

O novo destino de cópia de segurança é adicionado à lista de destinos de cópia de segurança.

Página de destinos de backup a opção Configurações

Ativar a deteção de ameaças

Você pode enviar dados automaticamente para o seu sistema de gerenciamento de eventos e segurança (SIEM) para análise e deteção de ameaças. Você pode selecionar o AWS Security Hub, o Microsoft Sentinel ou o Splunk Cloud como seu SIEM.

Antes de ativar a proteção contra ransomware BlueXP , você precisa configurar seu sistema SIEM.

Configure o AWS Security Hub para deteção de ameaças

Antes de ativar o AWS Security Hub na proteção contra ransomware do BlueXP , você precisará fazer as seguintes etapas de alto nível no AWS Security Hub:

  • Configurar permissões no AWS Security Hub.

  • Configure a chave de acesso de autenticação e a chave secreta no AWS Security Hub. (Estes passos não são fornecidos aqui.)

Etapas para configurar permissões no AWS Security Hub

  1. Vá para Console do AWS IAM.

  2. Selecione políticas.

  3. Crie uma política usando o seguinte código no formato JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

Configure o Microsoft Sentinel para deteção de ameaças

Antes de ativar o Microsoft Sentinel na proteção contra ransomware do BlueXP , você precisará fazer as seguintes etapas de alto nível no Microsoft Sentinel:

  • * Pré-requisitos*

    • Ative o Microsoft Sentinel.

    • Crie uma função personalizada no Microsoft Sentinel.

  • Inscrição

    • Registre a proteção contra ransomware BlueXP  para receber eventos do Microsoft Sentinel.

    • Crie um segredo para o Registro.

  • Permissões: Atribua permissões ao aplicativo.

  • Autenticação: Insira credenciais de autenticação para o aplicativo.

Passos para ativar o Microsoft Sentinel

  1. Vá para Microsoft Sentinel.

  2. Crie um espaço de trabalho Log Analytics.

  3. Habilite o Microsoft Sentinel para usar o espaço de trabalho Log Analytics que você acabou de criar.

Etapas para criar uma função personalizada no Microsoft Sentinel

  1. Vá para Microsoft Sentinel.

  2. Selecione Subscription > Access Control (IAM).

  3. Introduza um nome de função personalizado. Use o nome Configurador Sentinel de proteção contra ransomware BlueXP .

  4. Copie o JSON a seguir e cole-o na guia JSON.

    {
  "roleName": "BlueXP Ransomware Protection Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. Reveja e guarde as suas definições.

Etapas para Registrar a proteção contra ransomware do BlueXP  para receber eventos do Microsoft Sentinel

  1. Vá para Microsoft Sentinel.

  2. Selecione Entra ID > aplicações > inscrições de aplicações.

  3. Para o Nome de exibição para o aplicativo, digite "proteção contra ransomware BlueXP ".

  4. No campo Supported account type (tipo de conta suportado), selecione Accounts in this organizational Directory only (apenas contas neste diretório organizacional).

  5. Selecione um índice padrão onde os eventos serão enviados.

  6. Selecione Revisão.

  7. Selecione Register para salvar suas configurações.

    Após o Registro, o centro de administração do Microsoft Entra exibe o painel Visão geral do aplicativo.

Passos para criar um segredo para o registo

  1. Vá para Microsoft Sentinel.

  2. Selecione certificados e segredos > Segredos do cliente > segredo do novo cliente.

  3. Adicione uma descrição para o segredo do seu aplicativo.

  4. Selecione um Expiration para o segredo ou especifique uma vida útil personalizada.

    Dica Uma vida secreta do cliente é limitada a dois anos (24 meses) ou menos. A Microsoft recomenda que você defina um valor de expiração inferior a 12 meses.

  5. Selecione Adicionar para criar seu segredo.

  6. Registre o segredo a ser usado na etapa Autenticação. O segredo nunca é exibido novamente depois de sair desta página.

Etapas para atribuir permissões ao aplicativo

  1. Vá para Microsoft Sentinel.

  2. Selecione Subscription > Access Control (IAM).

  3. Selecione Adicionar > Adicionar atribuição de função.

  4. Para o campo funções de administrador privilegiadas, selecione Configurador Sentinela de proteção contra ransomware BlueXP .

    Dica Esta é a função personalizada que você criou anteriormente.

  5. Selecione seguinte.

  6. No campo Assign Access to, selecione User, group ou Service Principal.

  7. Selecione Selecionar Membros. Em seguida, selecione BlueXP  ransomware Protection Sentinel Configurator.

  8. Selecione seguinte.

  9. No campo o que o usuário pode fazer, selecione permitir que o usuário atribua todas as funções, exceto as funções de administrador privilegiado Owner, UAA, RBAC (recomendado).

  10. Selecione seguinte.

  11. Selecione Rever e atribuir para atribuir as permissões.

Passos para introduzir credenciais de autenticação para a aplicação

  1. Vá para Microsoft Sentinel.

  2. Introduza as credenciais:

    1. Insira o ID do locatário, o ID do aplicativo do cliente e o segredo do aplicativo do cliente.

    2. Clique em Authenticate.

      Observação Depois que a autenticação for bem-sucedida, é apresentada uma mensagem "autenticada".

  3. Insira os detalhes da área de trabalho do Log Analytics para o aplicativo.

    1. Selecione a ID da assinatura, o grupo de recursos e a área de trabalho Log Analytics.

Configurar o Splunk Cloud para detecção de ameaças

Antes de ativar a proteção contra ransomware do BlueXP , você precisará seguir as etapas de alto nível abaixo:

  • Habilite um coletor de eventos HTTP no Splunk Cloud para receber dados de eventos via HTTP ou HTTPS do BlueXP .

  • Criar um token de Event Collector no Splunk Cloud.

Etapas para habilitar um coletor de eventos HTTP no Splunk

  1. Vá para o Splunk Cloud.

  2. Selecione Definições > entradas de dados.

  3. Selecione Coletor de eventos HTTP > Configurações globais.

  4. Na alternância todos os tokens, selecione ativado.

  5. Para que o Event Collector ouça e se comunique por HTTPS em vez de HTTP, selecione Ativar SSL.

  6. Insira uma porta em número da porta HTTP para o coletor de eventos HTTP.

Etapas para criar um token de Event Collector no Splunk

  1. Vá para o Splunk Cloud.

  2. Selecione Definições > Adicionar dados.

  3. Selecione Monitor > Coletor de eventos HTTP.

  4. Digite um Nome para o token e selecione Next.

  5. Selecione um índice padrão onde os eventos serão enviados e, em seguida, selecione Revisão.

  6. Confirme se todas as configurações para o endpoint estão corretas e selecione Enviar.

  7. Copie o token e cole-o em outro documento para que ele esteja pronto para a etapa Autenticação.

Conete SIEM na proteção contra ransomware BlueXP 

A ativação DO SIEM envia dados da proteção contra ransomware BlueXP  para seu servidor SIEM para análise e geração de relatórios de ameaças.

Passos

  1. No menu BlueXP , selecione proteção > proteção contra ransomware.

  2. No menu de proteção contra ransomware BlueXP , selecione a Ações verticaisopção vertical …​ no canto superior direito.

  3. Selecione Definições.

    A página Configurações é exibida.

    Página de definições

  4. Na página Configurações, selecione conetar no bloco de conexão SIEM.

    Ativar página de detalhes de deteção de ameaças

  5. Escolha um dos sistemas SIEM.

  6. Insira os detalhes de token e autenticação configurados no AWS Security Hub ou Splunk Cloud.

    Observação As informações inseridas dependem do SIEM selecionado.

  7. Selecione Ativar.

    A página Configurações mostra "conectado".