配置BlueXP勒索软件保护设置
您可以通过查看信息板上的建议或访问*Settings*选项来配置备份目标或启用威胁检测。
启用威胁检测会自动将数据发送到安全和事件管理系统(SIEM)以进行威胁分析。
直接访问设置页面
您可以从顶部菜单附近的操作选项轻松访问设置页面。
-
从BlueXP勒索软件保护菜单中、选择垂直市场 …选项。
-
从下拉菜单中选择*Settings*。
-
在设置页面中、您可以执行以下操作:
-
添加备份目标。
-
连接您的安全和事件管理系统(SIEM)以进行威胁分析和检测。
-
添加备份目标
BlueXP勒索软件保护可以识别尚未进行任何备份的工作负载以及尚未分配任何备份目标的工作负载。
要保护这些工作负载、您应添加一个备份目标。您可以选择以下备份目标之一:
-
NetApp StorageGRID
-
Amazon Web Services ( AWS )
-
Google Cloud Platform
-
Microsoft Azure
您可以根据信息板中的建议操作添加备份目标。
从信息板的建议操作访问备份目标选项
信息板提供了许多建议。其中一个建议可能是配置备份目标。
-
从BlueXP左侧导航栏中、选择*保护*>*防软件保护*。
-
查看信息板的"建议操作"窗格。
-
从信息板中,选择*Review and fix*以获得“准备<backup provider>作为备份目标”的建议。
-
根据备份提供程序继续执行说明。
从操作下拉菜单访问备份目标选项
您可以从顶部菜单附近的操作选项轻松访问设置页面。
-
从BlueXP勒索软件保护菜单中、选择垂直市场 …选项。
-
从下拉菜单中选择*Settings*。
-
要添加备份目的地,请选择*Add*。
将StorageGRID添加为备份目标
要将NetApp StorageGRID设置为备份目标、请输入以下信息。
-
在*设置>备份目的地*页面中,选择*添加*。
-
输入备份目标的名称。
-
选择* StorageGRID *。
-
选择每个设置旁边的向下箭头、然后输入或选择值:
-
提供者设置:
-
创建新存储分段或自带存储分段来存储备份。
-
StorageGRID网关节点完全限定域名、端口、StorageGRID访问密钥和机密密钥凭据。
-
-
联网:选择IP空间。
-
IP空间是要备份的卷所在的集群。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
-
-
选择 * 添加 * 。
新备份目标将添加到备份目标列表中。
将Amazon Web Services添加为备份目标
要将AWS设置为备份目标、请输入以下信息。
有关在BlueXP中管理AWS存储的详细信息、请参见 "管理Amazon S3存储分段"。
-
在*设置>备份目的地*页面中,选择*添加*。
-
输入备份目标的名称。
-
选择* Amazon Web Services*。
-
选择每个设置旁边的向下箭头、然后输入或选择值:
-
提供者设置:
-
创建新存储分段、如果BlueXP中已存在现有存储分段、则选择现有存储分段、或者自带存储分段来存储备份。
-
AWS帐户、区域、AWS凭据的访问密钥和机密密钥
-
-
加密:如果要创建新的S3存储分段,请输入提供程序提供给您的加密密钥信息。如果您选择了现有存储分段、则加密信息已可用。
默认情况下、存储分段中的数据使用AWS管理的密钥进行加密。您可以继续使用AWS管理的密钥、也可以使用自己的密钥管理数据加密。
-
联网:选择IP空间以及是否使用专用端点。
-
IP空间是要备份的卷所在的集群。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
(可选)选择是否使用先前配置的AWS专用端点(PrivateLink)。
如果要使用AWS PrivateLink、请参见 "适用于Amazon S3的AWS PrivateLink"。
-
-
Backup lock:选择您希望服务保护备份不被修改或删除。此选项使用NetApp数据锁技术。每个备份都将在保留期限内锁定、或者至少锁定30天、再加上长达14天的缓冲期。
如果您现在配置备份锁定设置、则在配置备份目标后、您将无法稍后更改该设置。 -
监管模式:特定用户(具有S3:BypassGovernance保留 权限)可以在保留期间覆盖或删除受保护的文件。
-
合规模式:用户在保留期间无法覆盖或删除受保护的备份文件。
-
-
-
选择 * 添加 * 。
新备份目标将添加到备份目标列表中。
将Google Cloud Platform添加为备份目标
要将Google Cloud Platform (GCP)设置为备份目标、请输入以下信息。
有关在BlueXP 中管理GCP存储的详细信息,请参见 "Google Cloud中的连接器安装选项"。
-
在*设置>备份目的地*页面中,选择*添加*。
-
输入备份目标的名称。
-
选择* Google Cloud Platform*。
-
选择每个设置旁边的向下箭头、然后输入或选择值:
-
提供者设置:
-
创建新存储分段。输入访问密钥和机密密钥。
-
输入或选择您的Google Cloud Platform项目和区域。
-
-
加密:如果要创建新存储分段,请输入提供程序提供给您的加密密钥信息。如果您选择了现有存储分段、则加密信息已可用。
默认情况下、存储分段中的数据使用Google管理的密钥进行加密。您可以继续使用Google管理的密钥。
-
联网:选择IP空间以及是否使用专用端点。
-
IP空间是要备份的卷所在的集群。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
(可选)选择是否使用先前配置的GCP专用端点(PrivateLink)。
-
-
-
选择 * 添加 * 。
新备份目标将添加到备份目标列表中。
将Microsoft Azure添加为备份目标
要将Azure设置为备份目标、请输入以下信息。
有关在BlueXP中管理Azure凭据和市场订阅的详细信息、请参阅 "管理您的Azure凭据和市场订阅"。
-
在*设置>备份目的地*页面中,选择*添加*。
-
输入备份目标的名称。
-
选择 * Azure * 。
-
选择每个设置旁边的向下箭头、然后输入或选择值:
-
提供者设置:
-
创建新的存储帐户、如果BlueXP中已存在现有存储帐户、请选择一个、或者自带用于存储备份的存储帐户。
-
Azure凭据的Azure订阅、区域和资源组
-
-
加密:如果要创建新的存储帐户,请输入提供商提供给您的加密密钥信息。如果您选择了现有帐户、则加密信息已可用。
默认情况下、帐户中的数据使用Microsoft管理的密钥进行加密。您可以继续使用Microsoft管理的密钥、也可以使用自己的密钥管理数据加密。
-
联网:选择IP空间以及是否使用专用端点。
-
IP空间是要备份的卷所在的集群。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
(可选)选择是否使用先前配置的Azure私有端点。
如果要使用Azure PrivateLink、请参见 "Azure PrivateLink"。
-
-
-
选择 * 添加 * 。
新备份目标将添加到备份目标列表中。
启用威胁检测
您可以自动将数据发送到安全和事件管理系统(SIEM)、以进行威胁分析和检测。您可以选择AWS Security Hub或Splunk Cloud作为您的SIEM。
在BlueXP 勒索软件保护中启用SIEM之前、您需要配置您的SIEM系统。
配置AWS Security Hub以进行威胁检测
在BlueXP 勒索软件保护中启用AWS安全中心之前、您需要在AWS安全中心中执行以下高级步骤:
-
在AWS Security Hub中设置权限。
-
在AWS Security Hub中设置身份验证访问密钥和机密密钥。(此处不提供这些步骤。)
-
转到*AWS IAM console*。
-
选择*Policies*。
-
使用以下代码以JSON格式创建策略:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NetAppSecurityHubFindings", "Effect": "Allow", "Action": [ "securityhub:BatchImportFindings", "securityhub:BatchUpdateFindings" ], "Resource": [ "arn:aws:securityhub:*:*:product/*/default", "arn:aws:securityhub:*:*:hub/default" ] } ] }
配置Splunk Cloud以进行威胁检测
在BlueXP 勒索软件保护中启用Splunk Cloud之前、您需要在Splunk Cloud中执行以下高级步骤:
-
在Splunk Cloud中启用HTTP事件收集器、以便通过HTTP或HTTPS从BlueXP 接收事件数据。
-
在Splunk Cloud中创建事件收集器令牌。
-
转到Splunk Cloud。
-
选择*Settings*>*Data Inputs*。
-
选择*HTTP事件收集器*>*Global Settings*。
-
在“All Toens”(所有令牌)切换中,选择“Enabled"(已启用)。
-
要使事件收集器通过HTTPS而不是HTTP进行侦听和通信,请选择*Enable SSL*。
-
在*HTTP端口号*中输入HTTP事件收集器的端口。
-
转到Splunk Cloud。
-
选择*Settings*>*Add Data*。
-
选择*Monitor*>*HTTP事件收集器*。
-
输入令牌的名称,然后选择*Next*。
-
选择要推送事件的*Default Index*,然后选择*Review。
-
确认端点的所有设置均正确无误,然后选择*Submit*。
-
复制令牌并将其粘贴到另一个文档中、以便为身份验证步骤做好准备。
在BlueXP 勒索软件防护中连接SIEM
启用SIEM可将BlueXP 勒索软件保护中的数据发送到您的SIEM服务器、以进行威胁分析和报告。
-
从BlueXP 菜单中,选择*保护*>*防软件保护*。
-
从BlueXP勒索软件保护菜单中、选择垂直市场 …选项。
-
选择*Settings*。
出现“Settings (设置)”页面。
-
在设置页面中,选择“暹粒连接”窗格中的*Connect*。
-
选择一个暹粒系统。
-
输入您在AWS Security Hub或Splunk Cloud中配置的令牌和身份验证详细信息。
您输入的信息取决于您选择的暹粒。 -
选择 * 启用 * 。
"设置"页面将显示"已连接"。
断开SIEM
断开暹粒连接将停止服务向暹粒服务器发送数据。
-
从BlueXP 菜单中,选择*保护*>*防软件保护*。
-
从BlueXP勒索软件保护菜单中、选择垂直市场 …选项。
-
选择*Settings*。
-
在暹粒连接窗格中,选择*Disconnect*。
-
在确认页面中,选择*Disconnect*。