Skip to main content
NetApp Ransomware Resilience
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Conecte NetApp Ransomware Resilience ao sistema de gerenciamento de segurança e eventos (SIEM) para análise e detecção de ameaças

Colaboradores netapp-ahibbard
PDFs

Um sistema de gerenciamento de eventos e segurança (SIEM) centraliza dados de logs e eventos para fornecer informações sobre eventos de segurança e conformidade. NetApp Ransomware Resilience oferece suporte ao envio automático de dados para o seu SIEM para análise e detecção de ameaças de forma simplificada.

Ransomware Resilience é compatível com os seguintes SIEMs:

  • AWS Security Hub

  • Microsoft Sentinel

  • Splunk Cloud

Antes de habilitar o SIEM no Ransomware Resilience, você precisa configurar seu sistema SIEM.

Dados de eventos enviados para um SIEM

O Ransomware Resilience pode enviar os seguintes dados de eventos para o seu sistema SIEM:

  • contexto:

    • os: Esta é uma constante com o valor de ONTAP.

    • os_version: A versão do ONTAP em execução no sistema.

    • connector_id: O ID do agente do Console que gerencia o sistema.

    • cluster_id: O ID do cluster relatado pelo ONTAP para o sistema.

    • svm_name: O nome do SVM onde o alerta foi encontrado.

    • volume_name: O nome do volume no qual o alerta é encontrado.

    • volume_id: O ID do volume relatado pelo ONTAP para o sistema.

  • incidente:

    • incident_id: O ID do incidente gerado pelo Ransomware Resilience para o volume sob ataque no Ransomware Resilience.

    • alert_id: O ID gerado pelo Ransomware Resilience para a carga de trabalho.

    • gravidade: Um dos seguintes níveis de alerta: "CRÍTICO", "ALTO", "MÉDIO", "BAIXO".

    • description: Detalhes sobre o alerta que foi detectado, por exemplo, "Um possível ataque de ransomware detectado na carga de trabalho arp_learning_mode_test_2630"

Configurar o AWS Security Hub para detecção de ameaças

Antes de habilitar o AWS Security Hub em NetApp Ransomware Resilience, você precisa executar as seguintes etapas gerais no AWS Security Hub:

  • Configure permissões no AWS Security Hub.

  • Configure a chave de acesso de autenticação e a chave secreta no AWS Security Hub. (Essas etapas não são fornecidas aqui.)

Etapas para configurar permissões no AWS Security Hub

  1. Acesse o console do AWS IAM.

  2. Selecione Políticas.

  3. Crie uma política usando o seguinte código no formato JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

Configurar o Microsoft Sentinel para detecção de ameaças

Antes de habilitar o Microsoft Sentinel em NetApp Ransomware Resilience, você precisa executar as seguintes etapas gerais no Microsoft Sentinel:

  • Pré-requisitos

    • Ativar o Microsoft Sentinel.

    • Crie uma função personalizada no Microsoft Sentinel.

  • Inscrição

    • Registre o Ransomware Resilience para receber eventos do Microsoft Sentinel.

    • Crie um segredo para o registro.

  • Permissões: Atribua permissões ao aplicativo.

  • Autenticação: Insira as credenciais de autenticação para o aplicativo.

Etapas para habilitar o Microsoft Sentinel

  1. Acesse o Microsoft Sentinel.

  2. Crie um espaço de trabalho do Log Analytics.

  3. Habilite o Microsoft Sentinel para usar o espaço de trabalho do Log Analytics que você acabou de criar.

Etapas para criar uma função personalizada no Microsoft Sentinel

  1. Acesse o Microsoft Sentinel.

  2. Selecione Assinatura > Controle de acesso (IAM).

  3. Insira um nome de função personalizado. Use o nome Ransomware Resilience Sentinel Configurator.

  4. Copie o seguinte JSON e cole-o na aba JSON.

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. Revise e salve suas configurações.

Etapas para registrar o Ransomware Resilience para receber eventos do Microsoft Sentinel

  1. Acesse o Microsoft Sentinel.

  2. Selecione Entra ID > Aplicativos > Registros de aplicativos.

  3. Para o Nome de exibição do aplicativo, digite "Resiliência ao Ransomware".

  4. No campo Tipo de conta compatível, selecione Contas somente neste diretório organizacional.

  5. Selecione um Índice Padrão onde os eventos serão enviados.

  6. Selecione Revisar.

  7. Selecione Registrar para salvar suas configurações.

    Após o registro, o centro de administração do Microsoft Entra exibe o painel Visão geral do aplicativo.

Etapas para criar um segredo para o registro

  1. Acesse o Microsoft Sentinel.

  2. Selecione Certificados e segredos > Segredos do cliente > Novo segredo do cliente.

  3. Adicione uma descrição para o segredo do seu aplicativo.

  4. Selecione uma Expiração para o segredo ou especifique um tempo de vida personalizado.

    Dica A vida útil do segredo do cliente é limitada a dois anos (24 meses) ou menos. A Microsoft recomenda que você defina um valor de expiração inferior a 12 meses.

  5. Selecione Adicionar para criar seu segredo.

  6. Registre o segredo a ser usado na etapa de Autenticação. O segredo nunca mais será exibido depois que você sair desta página.

Etapas para atribuir permissões ao aplicativo

  1. Acesse o Microsoft Sentinel.

  2. Selecione Assinatura > Controle de acesso (IAM).

  3. Selecione Adicionar > Adicionar atribuição de função.

  4. Para o campo Funções de administrador privilegiado, selecione Configurador do Ransomware Resilience Sentinel.

    Dica Esta é a função personalizada que você criou anteriormente.

  5. Selecione Avançar.

  6. No campo Atribuir acesso a, selecione Usuário, grupo ou entidade de serviço.

  7. Selecione Selecionar membros. Em seguida, selecione Ransomware Resilience Sentinel Configurator.

  8. Selecione Avançar.

  9. No campo O que o usuário pode fazer, selecione Permitir que o usuário atribua todas as funções, exceto as funções de administrador privilegiado Proprietário, UAA, RBAC (recomendado).

  10. Selecione Avançar.

  11. Selecione Revisar e atribuir para atribuir as permissões.

Etapas para inserir credenciais de autenticação para o aplicativo

  1. Acesse o Microsoft Sentinel.

  2. Insira as credenciais:

    1. Insira o ID do locatário, o ID do aplicativo cliente e o segredo do aplicativo cliente.

    2. Selecione Authenticate.

      Observação Após a autenticação ser bem-sucedida, uma mensagem "Autenticado" será exibida.

  3. Insira os detalhes do espaço de trabalho do Log Analytics para o aplicativo.

    1. Selecione o ID da assinatura, o grupo de recursos e o espaço de trabalho do Log Analytics.

Configurar o Splunk Cloud para detecção de ameaças

Antes de habilitar o Splunk Cloud no Ransomware Resilience, você precisará seguir as seguintes etapas de alto nível no Splunk Cloud:

  • Habilite um Coletor de Eventos HTTP no Splunk Cloud para receber dados de eventos via HTTP ou HTTPS do Console.

  • Crie um token do Event Collector no Splunk Cloud.

Etapas para habilitar um coletor de eventos HTTP no Splunk

  1. Acesse o Splunk Cloud.

  2. Selecione Configurações > Entradas de dados.

  3. Selecione Coletor de Eventos HTTP > Configurações Globais.

  4. Na alternância Todos os tokens, selecione Ativado.

  5. Para que o Coletor de Eventos escute e se comunique por HTTPS em vez de HTTP, selecione Ativar SSL.

  6. Insira uma porta em Número da porta HTTP para o Coletor de eventos HTTP.

Etapas para criar um token do Event Collector no Splunk

  1. Acesse o Splunk Cloud.

  2. Selecione Configurações > Adicionar dados.

  3. Selecione Monitor > Coletor de Eventos HTTP.

  4. Digite um nome para o token e selecione Avançar.

  5. Selecione um Índice Padrão onde os eventos serão enviados e, em seguida, selecione Revisar.

  6. Confirme se todas as configurações do ponto de extremidade estão corretas e selecione Enviar.

  7. Copie o token e cole-o em outro documento para deixá-lo pronto para a etapa de Autenticação.

Conecte o SIEM na resiliência do ransomware

A ativação do SIEM envia dados do Ransomware Resilience para seu servidor SIEM para análise e geração de relatórios de ameaças.

Passos

  1. No menu Console, selecione Proteção > Resiliência ao Ransomware.

  2. No menu Resiliência do Ransomware, selecione a verticalAções Verticais …​ opção no canto superior direito.

  3. Selecione Configurações.

    A página Configurações é exibida.

    Página de configurações

  4. Na página Configurações, selecione Conectar no bloco de conexão SIEM.

    Habilitar página de detalhes de detecção de ameaças

  5. Escolha um dos sistemas SIEM.

  6. Insira o token e os detalhes de autenticação que você configurou no AWS Security Hub ou no Splunk Cloud.

    Observação As informações inseridas dependem do SIEM selecionado.

  7. Selecione Ativar.

    A página Configurações mostra "Conectado".