配置BlueXP勒索软件保护设置
您可以通过访问*设置*选项来配置备份目标、启用威胁检测或配置与Data Infrastructure Insight工作负载安全性的连接。启用威胁检测会自动将数据发送到安全和事件管理系统(SIEM)以进行威胁分析。
在设置页面中、您可以执行以下操作:
-
配置与Data Infrastructure Insight工作负载安全性的连接、以便在勒索软件警报中查看可疑用户信息。
-
添加备份目标。
-
连接您的安全和事件管理系统(SIEM)以进行威胁分析和检测。
直接访问设置页面
您可以从顶部菜单附近的操作选项轻松访问设置页面。
-
从BlueXP勒索软件保护菜单中、选择垂直市场 …选项。
-
从下拉菜单中选择*Settings*。
连接到Data Infrastructure Insight工作负载安全性以查看可疑的异常用户行为
在BlueXP 勒索软件保护中查看可疑异常用户行为的详细信息之前、您需要配置与Data Infrastructure Insight工作负载安全系统的连接。
从Data Infrastructure Insight工作负载安全系统获取API访问令牌
从Data Infrastructure Insight工作负载安全系统获取API访问令牌。
-
登录到Data Infrastructure Insight工作负载安全系统。
-
在左侧导航栏中,选择*Admin*>*API Access*。
-
创建API访问令牌或使用现有令牌。
-
复制API访问令牌。
连接到Data Infrastructure Insight工作负载安全性
-
从BlueXP 勒索软件保护设置菜单中、选择*工作负载安全连接*。
-
选择 * 连接 * 。
-
输入数据基础架构工作负载安全UI的URL。
-
输入用于访问工作负载安全性的API访问令牌。
-
选择 * 连接 * 。
添加备份目标
BlueXP勒索软件保护可以识别尚未进行任何备份的工作负载以及尚未分配任何备份目标的工作负载。
要保护这些工作负载、您应添加一个备份目标。您可以选择以下备份目标之一:
-
NetApp StorageGRID
-
Amazon Web Services ( AWS )
-
Google Cloud Platform
-
Microsoft Azure
您可以通过信息板或访问菜单上的设置选项根据建议的操作添加备份目标。
从信息板的建议操作访问备份目标选项
信息板提供了许多建议。其中一个建议可能是配置备份目标。
-
从BlueXP左侧导航栏中、选择*保护*>*防软件保护*。
-
查看信息板的"建议操作"窗格。
-
从信息板中,选择*Review and fix*以获得“准备<backup provider>作为备份目标”的建议。
-
根据备份提供程序继续执行说明。
将StorageGRID添加为备份目标
要将NetApp StorageGRID设置为备份目标、请输入以下信息。
-
在*设置>备份目的地*页面中,选择*添加*。
-
输入备份目标的名称。
-
选择* StorageGRID *。
-
选择每个设置旁边的向下箭头、然后输入或选择值:
-
提供者设置:
-
创建新存储分段或自带存储分段来存储备份。
-
StorageGRID网关节点完全限定域名、端口、StorageGRID访问密钥和机密密钥凭据。
-
-
联网:选择IP空间。
-
IP空间是要备份的卷所在的集群。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
-
-
选择 * 添加 * 。
新备份目标将添加到备份目标列表中。
将Amazon Web Services添加为备份目标
要将AWS设置为备份目标、请输入以下信息。
有关在BlueXP中管理AWS存储的详细信息、请参见 "管理Amazon S3存储分段"。
-
在*设置>备份目的地*页面中,选择*添加*。
-
输入备份目标的名称。
-
选择* Amazon Web Services*。
-
选择每个设置旁边的向下箭头、然后输入或选择值:
-
提供者设置:
-
创建新存储分段、如果BlueXP中已存在现有存储分段、则选择现有存储分段、或者自带存储分段来存储备份。
-
AWS帐户、区域、AWS凭据的访问密钥和机密密钥
-
-
加密:如果要创建新的S3存储分段,请输入提供程序提供给您的加密密钥信息。如果您选择了现有存储分段、则加密信息已可用。
默认情况下、存储分段中的数据使用AWS管理的密钥进行加密。您可以继续使用AWS管理的密钥、也可以使用自己的密钥管理数据加密。
-
联网:选择IP空间以及是否使用专用端点。
-
IP空间是要备份的卷所在的集群。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
(可选)选择是否使用先前配置的AWS专用端点(PrivateLink)。
如果要使用AWS PrivateLink、请参见 "适用于Amazon S3的AWS PrivateLink"。
-
-
Backup lock:选择您希望服务保护备份不被修改或删除。此选项使用NetApp数据锁技术。每个备份都将在保留期限内锁定、或者至少锁定30天、再加上长达14天的缓冲期。
如果您现在配置备份锁定设置、则在配置备份目标后、您将无法稍后更改该设置。 -
监管模式:特定用户(具有S3:BypassGovernance保留 权限)可以在保留期间覆盖或删除受保护的文件。
-
合规模式:用户在保留期间无法覆盖或删除受保护的备份文件。
-
-
-
选择 * 添加 * 。
新备份目标将添加到备份目标列表中。
将Google Cloud Platform添加为备份目标
要将Google Cloud Platform (GCP)设置为备份目标、请输入以下信息。
有关在BlueXP 中管理GCP存储的详细信息,请参见 "Google Cloud中的连接器安装选项"。
-
在*设置>备份目的地*页面中,选择*添加*。
-
输入备份目标的名称。
-
选择* Google Cloud Platform*。
-
选择每个设置旁边的向下箭头、然后输入或选择值:
-
提供者设置:
-
创建新存储分段。输入访问密钥和机密密钥。
-
输入或选择您的Google Cloud Platform项目和区域。
-
-
加密:如果要创建新存储分段,请输入提供程序提供给您的加密密钥信息。如果您选择了现有存储分段、则加密信息已可用。
默认情况下、存储分段中的数据使用Google管理的密钥进行加密。您可以继续使用Google管理的密钥。
-
联网:选择IP空间以及是否使用专用端点。
-
IP空间是要备份的卷所在的集群。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
(可选)选择是否使用先前配置的GCP专用端点(PrivateLink)。
-
-
-
选择 * 添加 * 。
新备份目标将添加到备份目标列表中。
将Microsoft Azure添加为备份目标
要将Azure设置为备份目标、请输入以下信息。
有关在BlueXP中管理Azure凭据和市场订阅的详细信息、请参阅 "管理您的Azure凭据和市场订阅"。
-
在*设置>备份目的地*页面中,选择*添加*。
-
输入备份目标的名称。
-
选择 * Azure * 。
-
选择每个设置旁边的向下箭头、然后输入或选择值:
-
提供者设置:
-
创建新的存储帐户、如果BlueXP中已存在现有存储帐户、请选择一个、或者自带用于存储备份的存储帐户。
-
Azure凭据的Azure订阅、区域和资源组
-
-
加密:如果要创建新的存储帐户,请输入提供商提供给您的加密密钥信息。如果您选择了现有帐户、则加密信息已可用。
默认情况下、帐户中的数据使用Microsoft管理的密钥进行加密。您可以继续使用Microsoft管理的密钥、也可以使用自己的密钥管理数据加密。
-
联网:选择IP空间以及是否使用专用端点。
-
IP空间是要备份的卷所在的集群。此 IP 空间的集群间 LIF 必须具有出站 Internet 访问权限。
-
(可选)选择是否使用先前配置的Azure私有端点。
如果要使用Azure PrivateLink、请参见 "Azure PrivateLink"。
-
-
-
选择 * 添加 * 。
新备份目标将添加到备份目标列表中。
启用威胁检测
您可以自动将数据发送到安全和事件管理系统(SIEM)、以进行威胁分析和检测。您可以选择AWS Security Hub、Microsoft Sentinel或Splunk Cloud作为您的SIEM。
在BlueXP 勒索软件保护中启用SIEM之前、您需要配置您的SIEM系统。
配置AWS Security Hub以进行威胁检测
在BlueXP 勒索软件保护中启用AWS安全中心之前、您需要在AWS安全中心中执行以下高级步骤:
-
在AWS Security Hub中设置权限。
-
在AWS Security Hub中设置身份验证访问密钥和机密密钥。(此处不提供这些步骤。)
-
转到*AWS IAM console*。
-
选择*Policies*。
-
使用以下代码以JSON格式创建策略:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NetAppSecurityHubFindings", "Effect": "Allow", "Action": [ "securityhub:BatchImportFindings", "securityhub:BatchUpdateFindings" ], "Resource": [ "arn:aws:securityhub:*:*:product/*/default", "arn:aws:securityhub:*:*:hub/default" ] } ] }
配置Microsoft Sentinel以进行威胁检测
在BlueXP 勒索软件保护中启用Microsoft Sentinel之前、您需要在Microsoft Sentinel中执行以下高级步骤:
-
* 前提条件 *
-
启用Microsoft Sentinel。
-
在Microsoft Sentinel中创建自定义角色。
-
-
注册
-
注册BlueXP 勒索软件保护以接收来自Microsoft Sentinel的事件。
-
创建注册密钥。
-
-
权限:为应用程序分配权限。
-
身份验证:输入应用程序的身份验证凭据。
-
转到Microsoft Sentinel。
-
创建*日志分析工作空间*。
-
启用Microsoft Sentinel以使用刚刚创建的日志分析工作空间。
-
转到Microsoft Sentinel。
-
选择*订阅*>*访问控制(IAM)*。
-
输入自定义角色名称。使用名称* BlueXP 防软件保护Sentinel配置程序*。
-
复制以下JSON并将其粘贴到*JSX*选项卡中。
{ "roleName": "BlueXP Ransomware Protection Sentinel Configurator", "description": "", "assignableScopes":["/subscriptions/{subscription_id}"], "permissions": [ ] }
-
查看并保存设置。
-
转到Microsoft Sentinel。
-
选择*Enttra ID*>*应用程序*>*应用程序注册*。
-
对于应用程序的*显示名称*,输入“* BlueXP 勒索软件保护*”。
-
在*支持的帐户类型*字段中,选择*仅此组织目录中的帐户*。
-
选择要推送事件的*Default Index*。
-
选择 * 审阅 * 。
-
选择*注册*以保存您的设置。
注册后、Microsoft Entra管理中心将显示应用程序概述窗格。
-
转到Microsoft Sentinel。
-
选择*证书和机密*>*客户机密*>*新客户机密*。
-
添加应用程序密钥的说明。
-
为密钥选择*Expiration*或指定自定义生命周期。
客户端密钥的有效期不得超过两年(24个月)。Microsoft建议您将到期值设置为小于12个月。 -
选择*Add*以创建密钥。
-
记录要在身份验证步骤中使用的密钥。退出此页面后、此密钥将不再显示。
-
转到Microsoft Sentinel。
-
选择*订阅*>*访问控制(IAM)*。
-
选择*Add*>*Add Role assign*.
-
对于*特权管理员角色*字段,选择* BlueXP 防软件保护Sentinel配置程序*。
这是您先前创建的自定义角色。 -
选择 * 下一步 * 。
-
在*Assign access to 字段中,选择*User、group或service主体。
-
选择*选择成员*。然后,选择* BlueXP 防软件保护Sentinel配置程序*。
-
选择 * 下一步 * 。
-
在“*用户可以执行的操作”框中,选择“允许用户分配除特权管理员角色所有者、UAA、RBAC (建议)”以外的所有角色”。
-
选择 * 下一步 * 。
-
选择*Review and assign*以分配权限。
-
转到Microsoft Sentinel。
-
输入凭据:
-
输入租户ID、客户端应用程序ID和客户端应用程序密钥。
-
单击 * 身份验证 * 。
身份验证成功后、将显示一条"authentication (身份验证)"消息。
-
-
输入应用程序的日志分析工作区详细信息。
-
选择订阅ID、资源组和日志分析工作区。
-
配置Splunk Cloud以进行威胁检测
在BlueXP 勒索软件保护中启用Splunk Cloud之前、您需要在Splunk Cloud中执行以下高级步骤:
-
在Splunk Cloud中启用HTTP事件收集器、以便通过HTTP或HTTPS从BlueXP 接收事件数据。
-
在Splunk Cloud中创建事件收集器令牌。
-
转到Splunk Cloud。
-
选择*Settings*>*Data Inputs*。
-
选择*HTTP事件收集器*>*Global Settings*。
-
在“All Toens”(所有令牌)切换中,选择“Enabled"(已启用)。
-
要使事件收集器通过HTTPS而不是HTTP进行侦听和通信,请选择*Enable SSL*。
-
在*HTTP端口号*中输入HTTP事件收集器的端口。
-
转到Splunk Cloud。
-
选择*Settings*>*Add Data*。
-
选择*Monitor*>*HTTP事件收集器*。
-
输入令牌的名称,然后选择*Next*。
-
选择要推送事件的*Default Index*,然后选择*Review。
-
确认端点的所有设置均正确无误,然后选择*Submit*。
-
复制令牌并将其粘贴到另一个文档中、以便为身份验证步骤做好准备。
在BlueXP 勒索软件防护中连接SIEM
启用SIEM可将BlueXP 勒索软件保护中的数据发送到您的SIEM服务器、以进行威胁分析和报告。
-
从BlueXP 菜单中,选择*保护*>*防软件保护*。
-
从BlueXP勒索软件保护菜单中、选择垂直市场 …选项。
-
选择*Settings*。
出现“Settings (设置)”页面。
-
在设置页面中、选择SIEM连接磁贴中的*连接*。
-
选择一个暹粒系统。
-
输入您在AWS Security Hub或Splunk Cloud中配置的令牌和身份验证详细信息。
您输入的信息取决于您选择的暹粒。 -
选择 * 启用 * 。
"设置"页面将显示"已连接"。