Skip to main content
NetApp Ransomware Resilience
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Conecte NetApp Ransomware Resilience a um SIEM para análise e detecção de ameaças

Colaboradores netapp-ahibbard
PDFs

Um sistema de gerenciamento de informações e eventos de segurança (SIEM) centraliza dados de logs e eventos para fornecer insights sobre eventos de segurança e conformidade. NetApp Ransomware Resilience oferece suporte ao envio automático de dados para o seu SIEM para análise e detecção de ameaças de forma simplificada.

Ransomware Resilience é compatível com os seguintes sistemas SIEM:

  • AWS Security Hub

  • Google SecOps

  • Microsoft Sentinel

  • Splunk Cloud

  • Splunk Enterprise

Dica A resiliência contra ransomware também oferece "orquestração, automação e resposta de segurança (SOAR) playbooks".

Dados de eventos enviados para um SIEM

O Ransomware Resilience pode enviar os seguintes dados de eventos para o seu sistema SIEM:

  • contexto:

    • os: Esta é uma constante com o valor de ONTAP.

    • os_version: A versão do ONTAP em execução no sistema.

    • connector_id: O ID do agente do Console que gerencia o sistema.

    • cluster_id: O ID do cluster relatado pelo ONTAP para o sistema.

    • svm_name: O nome do SVM onde o alerta foi encontrado.

    • volume_name: O nome do volume no qual o alerta é encontrado.

    • volume_id: O ID do volume relatado pelo ONTAP para o sistema.

  • incidente:

    • incident_id: O ID do incidente gerado pelo Ransomware Resilience para o volume sob ataque no Ransomware Resilience.

    • alert_id: O ID gerado pelo Ransomware Resilience para a carga de trabalho.

    • Gravidade: A gravidade dos níveis de alerta: "CRITICAL", "HIGH", "MEDIUM", "LOW".

    • description: Detalhes sobre o alerta que foi detectado, por exemplo, "Um possível ataque de ransomware detectado na carga de trabalho arp_learning_mode_test_2630"

    • título: O nome de exibição do alerta detectado.

    • criticality: Uma avaliação da criticidade do volume em seu ambiente: "CRÍTICO", "IMPORTANTE", "PADRÃO".

    • incident_status: O status ativo do incidente, que pode ser: "NEW", "RESOLVED", "DISMISSED", "AUTO_RESOLVED".

    • first_detected: O registro de data e hora que indica quando o incidente foi detectado pela primeira vez pelo Ransomware Resilience.

    • is_readiness_drill: Um valor booleano que indica se o alerta é um simulado ou um incidente real.

    • protocolo: O protocolo usado pelo volume. Os valores possíveis são "iSCSI", "NFS" e "SMB".

    • alert_type: O tipo de ameaça detectada. Os valores possíveis são "Criptografia", "Destruição de dados", "Violação de dados" e "Comportamento suspeito do usuário".

    • user_name: O nome de usuário do usuário suspeito associado ao alerta.

    • user_id: O ID do usuário suspeito associado ao alerta.

    • client_ips: Uma lista de endereços IP de clientes associados à atividade suspeita, aplicável somente para alertas de NFS.

Observação Os campos user_name e user_id só são relevantes se você tiver configurado detecção de comportamento do usuário.

Configurar o AWS Security Hub para detecção de ameaças

Antes de habilitar o AWS Security Hub no NetApp Ransomware Resilience, você precisa executar as seguintes etapas de alto nível no AWS Security Hub:

  • Configure permissões no AWS Security Hub.

  • Configure a chave de acesso de autenticação e a chave secreta no AWS Security Hub. (Essas etapas não são fornecidas aqui.)

Etapas para configurar permissões no AWS Security Hub

  1. Acesse o console do AWS IAM.

  2. Selecione Políticas.

  3. Crie uma política usando o seguinte código no formato JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}
Autenticar AWS Security Hub na NetApp Ransomware Resilience

  1. Em Ransomware Resilience, selecione Configurações na barra lateral.

    Página de configurações

  2. Na página Configurações, selecione Conectar no bloco de conexão SIEM.

    Habilitar página de detalhes de detecção de ameaças

  3. Escolha o AWS Security Hub como provedor de SIEM.

  4. Consulte as seções de Permissões.

  5. Expanda a seção autenticação.

    1. Insira a Conta da AWS e selecione a Região da AWS da conta.

    2. Insira a Chave de acesso e a Chave secreta do AWS Security Hub.

  6. Selecione Conectar para começar a enviar dados SIEM.

Configure o Google SecOps para detecção de ameaças

Antes de ativar o Google SecOps em Ransomware Resilience, você precisa registrar o tipo de log e o webhook no Google SecOps para habilitar a conexão entre os serviços.

Criar um tipo de log

  1. Acesse o Google SecOps.

  2. Acesse Configurações > Configurações do SIEM > Tipos de log disponíveis.

    Recomenda-se o uso do tipo de log NETAPP_RANSOMWARE_RESILIENCE. Se você não quiser usar este, crie um tipo de log personalizado.

  3. Se você usar o tipo de log NETAPP_RANSOMWARE_RESILIENCE, ele já inclui um analisador sintático pré-construído e nenhuma ação adicional é necessária.

    Se você usa um tipo de log personalizado, precisa criar um analisador. Acesse Configurações do SIEM > Analisadores > Criar analisador para criar o analisador.

Registre o webhook

  1. Acesse o Google SecOps.

  2. Acesse Configurações > Configurações SIEM > Feeds.

  3. Selecione Adicionar novo feed.

  4. Selecione o tipo de log que você usou no fluxo de trabalho Criar um tipo de log.

  5. Defina o Source type como Webhook e salve o feed.

  6. Abra a aba Detalhes. Copie o Webhook endpoint URL para usar na autenticação em NetApp Ransomware Resilience.

  7. Abra a aba Chave secreta. Gere a chave secreta ou copie-a, caso já tenha criado uma. Salve a chave para usá-la ao autenticar no Ransomware Resilience.

  8. Crie uma chave de API usando o processo de chave de API do Google da sua organização.

Autentique o Google SecOps no NetApp Ransomware Resilience

  1. Em Ransomware Resilience, selecione Configurações na barra lateral.

    Página de configurações

  2. Na página Configurações, selecione Conectar no bloco de conexão SIEM.

    Habilitar página de detalhes de detecção de ameaças

  3. Escolha o Google SecOps como provedor de SIEM.

  4. Consulte as seções Pré-requisitos e Feed de webhook.

  5. Expanda a seção autenticação.

    1. Insira o URL do Webhook que você copiou do URL do endpoint do webhook do Google SecOps.

    2. Insira a chave secreta e a chave da API do Google SecOps.

  6. Selecione Conectar para começar a enviar dados SIEM.

Configurar o Microsoft Sentinel para detecção de ameaças

Antes de habilitar o Microsoft Sentinel no NetApp Ransomware Resilience, você precisa executar as seguintes etapas de alto nível no Microsoft Sentinel:

  • Pré-requisitos

    • Ativar o Microsoft Sentinel.

    • Crie uma função personalizada no Microsoft Sentinel.

  • Inscrição

    • Registre o Ransomware Resilience para receber eventos do Microsoft Sentinel.

    • Crie um segredo para o registro.

  • Permissões: Atribua permissões ao aplicativo.

  • Autenticação: Insira as credenciais de autenticação para o aplicativo.

Ativar Microsoft Sentinel

  1. Acesse o Microsoft Sentinel.

  2. Crie um espaço de trabalho do Log Analytics.

  3. Habilite o Microsoft Sentinel para usar o espaço de trabalho do Log Analytics que você acabou de criar.

Criar uma função personalizada no Microsoft Sentinel

  1. Acesse o Microsoft Sentinel.

  2. Selecione Assinatura > Controle de acesso (IAM).

  3. Insira um nome de função personalizado. Use o nome Ransomware Resilience Sentinel Configurator.

  4. Copie o seguinte JSON e cole-o na aba JSON.

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. Revise e salve suas configurações.

Autentique o NetApp Ransomware Resilience para receber eventos do Microsoft Sentinel

  1. Acesse o Microsoft Sentinel.

  2. Selecione Entra ID > Aplicativos > Registros de aplicativos.

  3. Para o Nome de exibição do aplicativo, digite "Resiliência ao Ransomware".

  4. No campo Tipo de conta compatível, selecione Contas somente neste diretório organizacional.

  5. Selecione um Índice Padrão onde os eventos serão enviados.

  6. Selecione Revisar.

  7. Selecione Registrar para salvar suas configurações.

    Após o registro, o centro de administração do Microsoft Entra exibe o painel Visão geral do aplicativo.

Crie um segredo para o cadastro

  1. Acesse o Microsoft Sentinel.

  2. Selecione Certificados e segredos > Segredos do cliente > Novo segredo do cliente.

  3. Adicione uma descrição para o segredo do seu aplicativo.

  4. Selecione uma Expiração para o segredo ou especifique um tempo de vida personalizado.

    Dica A vida útil do segredo do cliente é limitada a dois anos (24 meses) ou menos. A Microsoft recomenda que você defina um valor de expiração inferior a 12 meses.

  5. Selecione Adicionar para criar seu segredo.

  6. Registre o segredo a ser usado na etapa de Autenticação. O segredo nunca mais será exibido depois que você sair desta página.

Atribuir permissões

  1. Acesse o Microsoft Sentinel.

  2. Selecione Assinatura > Controle de acesso (IAM).

  3. Selecione Adicionar > Adicionar atribuição de função.

  4. Para o campo Funções de administrador privilegiado, selecione Configurador do Ransomware Resilience Sentinel.

    Dica Esta é a função personalizada que você criou anteriormente.

  5. Selecione Avançar.

  6. No campo Atribuir acesso a, selecione Usuário, grupo ou entidade de serviço.

  7. Selecione Selecionar membros. Em seguida, selecione Ransomware Resilience Sentinel Configurator.

  8. Selecione Avançar.

  9. No campo O que o usuário pode fazer, selecione Permitir que o usuário atribua todas as funções, exceto as funções de administrador privilegiado Proprietário, UAA, RBAC (recomendado).

  10. Selecione Avançar.

  11. Selecione Revisar e atribuir para atribuir as permissões.

Insira credenciais de autenticação

  1. Acesse o Microsoft Sentinel.

  2. Insira as credenciais:

    1. Insira o ID do locatário, o ID do aplicativo cliente e o segredo do aplicativo cliente.

    2. Selecione Authenticate.

      Observação Após a autenticação ser bem-sucedida, uma mensagem "Autenticado" será exibida.

  3. Insira os detalhes do espaço de trabalho do Log Analytics para o aplicativo.

    1. Selecione o ID da assinatura, o grupo de recursos e o espaço de trabalho do Log Analytics.

Autenticar o Microsoft Sentinel em NetApp Ransomware Resilience

  1. Em Ransomware Resilience, selecione Configurações na barra lateral.

    Página de configurações

  2. Na página Configurações, selecione Conectar no bloco de conexão SIEM.

    Habilitar página de detalhes de detecção de ameaças

  3. Escolha o Microsoft Sentinel como provedor de SIEM.

  4. Revise as seções Pré-requisitos, Inscrição e Permissões para garantir que você concluiu cada etapa com sucesso.

  5. Expanda a seção autenticação.

    1. Insira o ID do diretório (locatário), ID do aplicativo (locatário) e segredo do cliente. Selecione Autenticar e aguarde até que a interface do usuário confirme que as credenciais foram autenticadas.

    2. Nos menus suspensos, escolha o ID da assinatura, o Grupo de recursos e o Espaço de trabalho do Log Analytics para os quais deseja enviar os dados do SIEM.

  6. Selecione Conectar para começar a enviar dados SIEM.

Configure Splunk Cloud e Splunk Enterprise para detecção de ameaças

O Ransomware Resilience oferece suporte à detecção de ameaças com Splunk Cloud e Splunk Enterprise. Antes de habilitar a conexão do Splunk no Ransomware Resilience, você precisa:

  • Habilite um coletor de eventos HTTP no Splunk Cloud ou Enterprise para receber dados de eventos via HTTP ou HTTPS do Console.

  • Crie um token de coletor de eventos no Splunk Cloud ou Enterprise.

Observação Para Splunk Enterprise, é necessário permitir o tráfego público de internet de entrada para que o Ransomware Resilience possa enviar eventos usando os detalhes do coletor de eventos HTTP fornecidos a ele.
Habilitar um coletor de eventos HTTP no Splunk

  1. Acesse o ambiente Splunk de sua escolha: Cloud ou Enterprise.

  2. Selecione Configurações > Entradas de dados.

  3. Selecione Coletor de Eventos HTTP > Configurações Globais.

  4. Na alternância Todos os tokens, selecione Ativado.

  5. Para que o Coletor de Eventos escute e se comunique por HTTPS em vez de HTTP, selecione Ativar SSL.

  6. Insira uma porta em Número da Porta HTTP para o Coletor de Eventos HTTP. Salve o número da porta para o processo de autenticação.

Criar um token de coletor de eventos no Splunk

  1. Acesse o Splunk Cloud ou Enterprise.

  2. Selecione Configurações > Adicionar dados.

  3. Selecione Monitor > Coletor de Eventos HTTP.

  4. Digite um nome para o token e selecione Avançar.

  5. Selecione um Índice Padrão onde os eventos serão enviados e, em seguida, selecione Revisar.

  6. Confirme se todas as configurações do ponto de extremidade estão corretas e selecione Enviar.

  7. Copie o token e cole-o em outro documento para deixá-lo pronto para a etapa de Autenticação.

Autentique Splunk com Ransomware Resilience

  1. Em Ransomware Resilience, selecione Configurações na barra lateral.

    Página de configurações

  2. Na página Configurações, selecione Conectar no bloco de conexão SIEM.

    Habilitar página de detalhes de detecção de ameaças

  3. Escolha Splunk como provedor de SIEM.

  4. Revise as seções Coletor de eventos e Token para confirmar se você tem as informações corretas.

  5. Expanda a seção autenticação.

    1. Selecione o Protocolo para o Coletor de Eventos HTTP. Recomenda-se o uso de HTTPS, mas se o SSL não estiver habilitado para o Coletor de Eventos HTTP, selecione HTTP.

    2. Insira o Host e a Port da instância do Splunk Cloud que executa o HTTP Event Collector. A porta deve corresponder à que você inseriu no processo do HTTP Event Collector.

    3. Insira o token do coletor de eventos que você criou no Splunk.

  6. Selecione Conectar para começar a enviar dados SIEM.

Próximos passos