Skip to main content
NetApp Ransomware Resilience
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar as definições de proteção no NetApp Ransomware Resilience

Colaboradores amgrissino netapp-ahibbard
PDFs

Você pode configurar destinos de backup, enviar dados para um sistema externo de gerenciamento de segurança e eventos (SIEM), conduzir um exercício de prontidão para ataque, configurar a descoberta de carga de trabalho ou configurar a conexão com a segurança de carga de trabalho do Data Infrastructure Insights acessando a opção Configurações.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto ou administrador de resiliência contra ransomware. "Saiba mais sobre as funções de acesso do Console para todos os serviços" .

O que você pode fazer na página Configurações? Na página Configurações, você pode fazer o seguinte:

  • Simule um ataque de ransomware realizando um exercício de prontidão e respondendo a um alerta simulado de ransomware. Para obter detalhes, consulte "Realizar um exercício de preparação para ataques de ransomware" .

  • Configurar descoberta de carga de trabalho.

  • Configure a conexão com a segurança da carga de trabalho do Data Infrastructure Insights para ver informações de usuários suspeitos em alertas de ransomware.

  • Adicione um destino de backup.

  • Conecte seu sistema de gerenciamento de segurança e eventos (SIEM) para análise e detecção de ameaças. Habilitar a detecção de ameaças envia automaticamente dados ao seu SIEM para análise de ameaças.

Acesse a página Configurações diretamente

Você pode acessar facilmente a página Configurações na opção Ações, próxima ao menu superior.

  1. Em Resiliência de Ransomware, selecione a verticalAções Verticais …​ opção no canto superior direito.

  2. No menu suspenso, selecione Configurações.

Simule um ataque de ransomware

Realize um exercício de preparação para ransomware simulando um ataque de ransomware em uma carga de trabalho de amostra recém-criada. Em seguida, investigue o ataque simulado e recupere a carga de trabalho de amostra. Esse recurso ajuda você a saber se está preparado no caso de um ataque real de ransomware, testando processos de notificação de alerta, resposta e recuperação. Você pode executar um exercício de prontidão para ransomware várias vezes.

Para mais detalhes, consulte"Realizar um exercício de preparação para ataques de ransomware" .

Configurar descoberta de carga de trabalho

Você pode configurar a descoberta de carga de trabalho para descobrir automaticamente novas cargas de trabalho em seu ambiente.

  1. Na página Configurações, localize o bloco Descoberta de carga de trabalho.

  2. No bloco Descoberta de carga de trabalho, selecione Descobrir cargas de trabalho.

    Esta página mostra agentes do Console com sistemas que não foram selecionados anteriormente, agentes do Console recentemente disponíveis e sistemas recentemente disponíveis. Esta página não mostra os sistemas que foram selecionados anteriormente.

  3. Selecione o agente do Console onde você deseja descobrir cargas de trabalho.

  4. Revise a lista de sistemas.

  5. Marque os sistemas nos quais você deseja descobrir cargas de trabalho ou selecione a caixa na parte superior da tabela para descobrir cargas de trabalho em todos os ambientes de carga de trabalho descobertos.

  6. Faça isso para outros sistemas, conforme necessário.

  7. Selecione Descobrir para que o Ransomware Resilience descubra automaticamente novas cargas de trabalho no agente do Console selecionado.

Veja comportamento anômalo suspeito do usuário conectando-se à segurança da carga de trabalho do Data Infrastructure Insights

Antes de poder visualizar detalhes de comportamento anômalo suspeito do usuário no Ransomware Resilience, você precisa configurar a conexão com o sistema de segurança do Data Infrastructure Insights Workload.

Obtenha um token de acesso à API do sistema de segurança de carga de trabalho do Data Infrastructure Insights

Obtenha um token de acesso à API do sistema de segurança de carga de trabalho do Data Infrastructure Insights .

  1. Efetue login no sistema de segurança de carga de trabalho do Data Infrastructure Insights .

  2. Na navegação à esquerda, selecione Admin > Acesso à API.

    Página de acesso à API no Data Infrastructure Insights Segurança da carga de trabalho

  3. Crie um token de acesso à API ou use um existente.

  4. Copie o token de acesso da API.

Conecte-se ao Data Infrastructure Insights Segurança da carga de trabalho

  1. No menu Configurações de resiliência contra ransomware, localize o bloco Conexão de segurança da carga de trabalho.

  2. Selecione Conectar.

  3. Insira a URL para a interface de segurança da carga de trabalho da infraestrutura de dados.

  4. Insira o token de acesso da API que fornece acesso à segurança da carga de trabalho.

  5. Selecione Conectar.

Adicionar um destino de backup

O Ransomware Resilience pode identificar cargas de trabalho que ainda não têm backups e também cargas de trabalho que ainda não têm destinos de backup atribuídos.

Para proteger essas cargas de trabalho, você deve adicionar um destino de backup. Você pode escolher um dos seguintes destinos de backup:

  • NetApp StorageGRID

  • Serviços Web da Amazon (AWS)

  • Plataforma Google Cloud

  • Microsoft Azure

Observação Os destinos de backup não estão disponíveis para cargas de trabalho no Amazon FSx for NetApp ONTAP. Execute operações de backup usando o serviço de backup FSx for ONTAP .

Você pode adicionar um destino de backup com base em uma ação recomendada no Painel ou acessando a opção Configurações no menu.

Acesse as opções de destino de backup nas ações recomendadas do painel

O Painel fornece muitas recomendações. Uma recomendação pode ser configurar um destino de backup.

Passos

  1. No painel Resiliência de Ransomware, revise o painel Ações recomendadas.

    Página do painel

  2. No Painel, selecione Revisar e corrigir para a recomendação de "Preparar <provedor de backup> como destino de backup".

  3. Continue com as instruções dependendo do provedor de backup.

Adicionar StorageGRID como destino de backup

Para configurar o NetApp StorageGRID como um destino de backup, insira as seguintes informações.

Passos

  1. Na página Configurações > Destinos de backup, selecione Adicionar.

  2. Digite um nome para o destino do backup.

    Página de destinos de backup

  3. Selecione * StorageGRID*.

  4. Selecione a seta para baixo ao lado de cada configuração e insira ou selecione valores:

    • Configurações do provedor:

      • Crie um novo bucket ou traga seu próprio bucket que armazenará os backups.

      • Nome de domínio totalmente qualificado do nó do gateway StorageGRID , porta, chave de acesso do StorageGRID e credenciais de chave secreta.

    • Rede: Escolha o IPspace.

      • O IPspace é o cluster onde residem os volumes que você deseja fazer backup. Os LIFs intercluster para este IPspace devem ter acesso de saída à Internet.

  5. Selecione Adicionar.

Resultado

O novo destino de backup é adicionado à lista de destinos de backup.

Página de destinos de backup, opção Configurações

Adicionar Amazon Web Services como destino de backup

Para configurar a AWS como destino de backup, insira as seguintes informações.

Para obter detalhes sobre como gerenciar seu armazenamento AWS no Console, consulte "Gerencie seus buckets do Amazon S3" .

Passos

  1. Na página Configurações > Destinos de backup, selecione Adicionar.

  2. Digite um nome para o destino do backup.

    Página de destinos de backup

  3. Selecione Amazon Web Services.

  4. Selecione a seta para baixo ao lado de cada configuração e insira ou selecione valores:

    • Configurações do provedor:

    • Criptografia: Se você estiver criando um novo bucket S3, insira as informações da chave de criptografia fornecidas pelo provedor. Se você escolher um bucket existente, as informações de criptografia já estarão disponíveis.

      Os dados no bucket são criptografados com chaves gerenciadas pela AWS por padrão. Você pode continuar usando chaves gerenciadas pela AWS ou pode gerenciar a criptografia dos seus dados usando suas próprias chaves.

    • Rede: Escolha o espaço IP e se você usará um ponto de extremidade privado.

      • O IPspace é o cluster onde residem os volumes que você deseja fazer backup. Os LIFs intercluster para este IPspace devem ter acesso de saída à Internet.

      • Opcionalmente, escolha se você usará um endpoint privado da AWS (PrivateLink) que você configurou anteriormente.

        Se você quiser usar o AWS PrivateLink, consulte "AWS PrivateLink para Amazon S3" .

    • Bloqueio de backup: escolha se deseja que o Ransomware Resilience proteja os backups contra modificações ou exclusão. Esta opção usa a tecnologia NetApp DataLock. Cada backup será bloqueado durante o período de retenção, ou por um mínimo de 30 dias, mais um período de buffer de até 14 dias.

      Cuidado Se você configurar a configuração de bloqueio de backup agora, não poderá alterá-la depois que o destino do backup for configurado.

      • Modo de governança: Usuários específicos (com permissão s3:BypassGovernanceRetention) podem substituir ou excluir arquivos protegidos durante o período de retenção.

      • Modo de conformidade: Os usuários não podem substituir ou excluir arquivos de backup protegidos durante o período de retenção.

  5. Selecione Adicionar.

Resultado

O novo destino de backup é adicionado à lista de destinos de backup.

Página de destinos de backup, opção Configurações

Adicionar o Google Cloud Platform como destino de backup

Para configurar o Google Cloud Platform (GCP) como destino de backup, insira as seguintes informações.

Para obter detalhes sobre como gerenciar seu armazenamento GCP no Console, consulte "Opções de instalação do agente de console no Google Cloud" .

Passos

  1. Na página Configurações > Destinos de backup, selecione Adicionar.

  2. Digite um nome para o destino do backup.

    Página de destinos de backup

  3. Selecione Google Cloud Platform.

  4. Selecione a seta para baixo ao lado de cada configuração e insira ou selecione valores:

    • Configurações do provedor:

      • Crie um novo bucket. Digite a chave de acesso e a chave secreta.

      • Insira ou selecione seu projeto e região do Google Cloud Platform.

    • Criptografia: Se você estiver criando um novo bucket, insira as informações da chave de criptografia fornecidas pelo provedor. Se você escolher um bucket existente, as informações de criptografia já estarão disponíveis.

      Os dados no bucket são criptografados com chaves gerenciadas pelo Google por padrão. Você pode continuar usando as chaves gerenciadas pelo Google.

    • Rede: Escolha o espaço IP e se você usará um ponto de extremidade privado.

      • O IPspace é o cluster onde residem os volumes que você deseja fazer backup. Os LIFs intercluster para este IPspace devem ter acesso de saída à Internet.

      • Opcionalmente, escolha se você usará um ponto de extremidade privado do GCP (PrivateLink) que você configurou anteriormente.

  5. Selecione Adicionar.

Resultado

O novo destino de backup é adicionado à lista de destinos de backup.

Adicionar o Microsoft Azure como destino de backup

Para configurar o Azure como um destino de backup, insira as seguintes informações.

Para obter detalhes sobre como gerenciar suas credenciais do Azure e assinaturas do marketplace no Console, consulte "Gerencie suas credenciais do Azure e assinaturas do marketplace" .

Passos

  1. Na página Configurações > Destinos de backup, selecione Adicionar.

  2. Digite um nome para o destino do backup.

    Página de destinos de backup

  3. Selecione Azure.

  4. Selecione a seta para baixo ao lado de cada configuração e insira ou selecione valores:

    • Configurações do provedor:

    • Criptografia: Se você estiver criando uma nova conta de armazenamento, insira as informações da chave de criptografia fornecidas pelo provedor. Se você escolheu uma conta existente, as informações de criptografia já estarão disponíveis.

      Os dados na conta são criptografados com chaves gerenciadas pela Microsoft por padrão. Você pode continuar usando chaves gerenciadas pela Microsoft ou pode gerenciar a criptografia dos seus dados usando suas próprias chaves.

    • Rede: Escolha o espaço IP e se você usará um ponto de extremidade privado.

      • O IPspace é o cluster onde residem os volumes que você deseja fazer backup. Os LIFs intercluster para este IPspace devem ter acesso de saída à Internet.

      • Opcionalmente, escolha se você usará um ponto de extremidade privado do Azure que você configurou anteriormente.

        Se você quiser usar o Azure PrivateLink, consulte "Link Privado do Azure" .

  5. Selecione Adicionar.

Resultado

O novo destino de backup é adicionado à lista de destinos de backup.

Página de destinos de backup, opção Configurações

Conecte-se a um sistema de gerenciamento de segurança e eventos (SIEM) para análise e detecção de ameaças

Você pode enviar dados automaticamente para seu sistema de gerenciamento de segurança e eventos (SIEM) para análise e detecção de ameaças. Você pode selecionar o AWS Security Hub, o Microsoft Sentinel ou o Splunk Cloud como seu SIEM.

Antes de habilitar o SIEM no Ransomware Resilience, você precisa configurar seu sistema SIEM.

Sobre os dados do evento enviados para um SIEM

O Ransomware Resilience pode enviar os seguintes dados de eventos para o seu sistema SIEM:

  • contexto:

    • os: Esta é uma constante com o valor de ONTAP.

    • os_version: A versão do ONTAP em execução no sistema.

    • connector_id: O ID do agente do Console que gerencia o sistema.

    • cluster_id: O ID do cluster relatado pelo ONTAP para o sistema.

    • svm_name: O nome do SVM onde o alerta foi encontrado.

    • volume_name: O nome do volume no qual o alerta é encontrado.

    • volume_id: O ID do volume relatado pelo ONTAP para o sistema.

  • incidente:

    • incident_id: O ID do incidente gerado pelo Ransomware Resilience para o volume sob ataque no Ransomware Resilience.

    • alert_id: O ID gerado pelo Ransomware Resilience para a carga de trabalho.

    • gravidade: Um dos seguintes níveis de alerta: "CRÍTICO", "ALTO", "MÉDIO", "BAIXO".

    • description: Detalhes sobre o alerta que foi detectado, por exemplo, "Um possível ataque de ransomware detectado na carga de trabalho arp_learning_mode_test_2630"

Configurar o AWS Security Hub para detecção de ameaças

Antes de habilitar o AWS Security Hub no Ransomware Resilience, você precisará executar as seguintes etapas de alto nível no AWS Security Hub:

  • Configure permissões no AWS Security Hub.

  • Configure a chave de acesso de autenticação e a chave secreta no AWS Security Hub. (Essas etapas não são fornecidas aqui.)

Etapas para configurar permissões no AWS Security Hub

  1. Acesse o console do AWS IAM.

  2. Selecione Políticas.

  3. Crie uma política usando o seguinte código no formato JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

Configurar o Microsoft Sentinel para detecção de ameaças

Antes de habilitar o Microsoft Sentinel no Ransomware Resilience, você precisará executar as seguintes etapas de alto nível no Microsoft Sentinel:

  • Pré-requisitos

    • Ativar o Microsoft Sentinel.

    • Crie uma função personalizada no Microsoft Sentinel.

  • Inscrição

    • Registre o Ransomware Resilience para receber eventos do Microsoft Sentinel.

    • Crie um segredo para o registro.

  • Permissões: Atribua permissões ao aplicativo.

  • Autenticação: Insira as credenciais de autenticação para o aplicativo.

Etapas para habilitar o Microsoft Sentinel

  1. Acesse o Microsoft Sentinel.

  2. Crie um espaço de trabalho do Log Analytics.

  3. Habilite o Microsoft Sentinel para usar o espaço de trabalho do Log Analytics que você acabou de criar.

Etapas para criar uma função personalizada no Microsoft Sentinel

  1. Acesse o Microsoft Sentinel.

  2. Selecione Assinatura > Controle de acesso (IAM).

  3. Insira um nome de função personalizado. Use o nome Ransomware Resilience Sentinel Configurator.

  4. Copie o seguinte JSON e cole-o na aba JSON.

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. Revise e salve suas configurações.

Etapas para registrar o Ransomware Resilience para receber eventos do Microsoft Sentinel

  1. Acesse o Microsoft Sentinel.

  2. Selecione Entra ID > Aplicativos > Registros de aplicativos.

  3. Para o Nome de exibição do aplicativo, digite "Resiliência ao Ransomware".

  4. No campo Tipo de conta compatível, selecione Contas somente neste diretório organizacional.

  5. Selecione um Índice Padrão onde os eventos serão enviados.

  6. Selecione Revisar.

  7. Selecione Registrar para salvar suas configurações.

    Após o registro, o centro de administração do Microsoft Entra exibe o painel Visão geral do aplicativo.

Etapas para criar um segredo para o registro

  1. Acesse o Microsoft Sentinel.

  2. Selecione Certificados e segredos > Segredos do cliente > Novo segredo do cliente.

  3. Adicione uma descrição para o segredo do seu aplicativo.

  4. Selecione uma Expiração para o segredo ou especifique um tempo de vida personalizado.

    Dica A vida útil do segredo do cliente é limitada a dois anos (24 meses) ou menos. A Microsoft recomenda que você defina um valor de expiração inferior a 12 meses.

  5. Selecione Adicionar para criar seu segredo.

  6. Registre o segredo a ser usado na etapa de Autenticação. O segredo nunca mais será exibido depois que você sair desta página.

Etapas para atribuir permissões ao aplicativo

  1. Acesse o Microsoft Sentinel.

  2. Selecione Assinatura > Controle de acesso (IAM).

  3. Selecione Adicionar > Adicionar atribuição de função.

  4. Para o campo Funções de administrador privilegiado, selecione Configurador do Ransomware Resilience Sentinel.

    Dica Esta é a função personalizada que você criou anteriormente.

  5. Selecione Avançar.

  6. No campo Atribuir acesso a, selecione Usuário, grupo ou entidade de serviço.

  7. Selecione Selecionar membros. Em seguida, selecione Ransomware Resilience Sentinel Configurator.

  8. Selecione Avançar.

  9. No campo O que o usuário pode fazer, selecione Permitir que o usuário atribua todas as funções, exceto as funções de administrador privilegiado Proprietário, UAA, RBAC (recomendado).

  10. Selecione Avançar.

  11. Selecione Revisar e atribuir para atribuir as permissões.

Etapas para inserir credenciais de autenticação para o aplicativo

  1. Acesse o Microsoft Sentinel.

  2. Insira as credenciais:

    1. Insira o ID do locatário, o ID do aplicativo cliente e o segredo do aplicativo cliente.

    2. Clique em Autenticar.

      Observação Após a autenticação ser bem-sucedida, uma mensagem "Autenticado" será exibida.

  3. Insira os detalhes do espaço de trabalho do Log Analytics para o aplicativo.

    1. Selecione o ID da assinatura, o grupo de recursos e o espaço de trabalho do Log Analytics.

Configurar o Splunk Cloud para detecção de ameaças

Antes de habilitar o Splunk Cloud no Ransomware Resilience, você precisará seguir as seguintes etapas de alto nível no Splunk Cloud:

  • Habilite um Coletor de Eventos HTTP no Splunk Cloud para receber dados de eventos via HTTP ou HTTPS do Console.

  • Crie um token do Event Collector no Splunk Cloud.

Etapas para habilitar um coletor de eventos HTTP no Splunk

  1. Acesse o Splunk Cloud.

  2. Selecione Configurações > Entradas de dados.

  3. Selecione Coletor de Eventos HTTP > Configurações Globais.

  4. Na alternância Todos os tokens, selecione Ativado.

  5. Para que o Coletor de Eventos escute e se comunique por HTTPS em vez de HTTP, selecione Ativar SSL.

  6. Insira uma porta em Número da porta HTTP para o Coletor de eventos HTTP.

Etapas para criar um token do Event Collector no Splunk

  1. Acesse o Splunk Cloud.

  2. Selecione Configurações > Adicionar dados.

  3. Selecione Monitor > Coletor de Eventos HTTP.

  4. Digite um nome para o token e selecione Avançar.

  5. Selecione um Índice Padrão onde os eventos serão enviados e, em seguida, selecione Revisar.

  6. Confirme se todas as configurações do ponto de extremidade estão corretas e selecione Enviar.

  7. Copie o token e cole-o em outro documento para deixá-lo pronto para a etapa de Autenticação.

Conecte o SIEM na resiliência do ransomware

A ativação do SIEM envia dados do Ransomware Resilience para seu servidor SIEM para análise e geração de relatórios de ameaças.

Passos

  1. No menu Console, selecione Proteção > Resiliência ao Ransomware.

  2. No menu Resiliência do Ransomware, selecione a verticalAções Verticais …​ opção no canto superior direito.

  3. Selecione Configurações.

    A página Configurações é exibida.

    Página de configurações

  4. Na página Configurações, selecione Conectar no bloco de conexão SIEM.

    Habilitar página de detalhes de detecção de ameaças

  5. Escolha um dos sistemas SIEM.

  6. Insira o token e os detalhes de autenticação que você configurou no AWS Security Hub ou no Splunk Cloud.

    Observação As informações inseridas dependem do SIEM selecionado.

  7. Selecione Ativar.

    A página Configurações mostra "Conectado".