Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

将 NetApp Ransomware Resilience 连接到 SIEM 以进行威胁分析和检测

贡献者 netapp-ahibbard
PDF

安全信息和事件管理系统 (SIEM) 集中日志和事件数据,以提供有关安全事件和合规性的见解。NetApp Ransomware Resilience 支持自动将数据发送到您的 SIEM,以简化威胁分析和检测。

Ransomware Resilience 支持以下 SIEM:

  • AWS Security Hub

  • Microsoft Sentinel

  • Splunk Cloud

  • Splunk Enterprise

在 Ransomware Resilience 中启用 SIEM 之前,您需要配置您的 SIEM 系统。

提示 Ransomware Resilience 也支持 "安全协调、自动化和响应 (SOAR) 攻略"

发送到 SIEM 的事件数据

Ransomware Resilience 可以将以下事件数据发送到您的 SIEM 系统:

  • 语境

    • os:这是一个具有ONTAP值的常量。

    • os_version:系统上运行的ONTAP版本。

    • connector_id:管理系统的控制台代理的 ID。

    • cluster_id: ONTAP为系统报告的集群 ID。

    • svm_name:发现警报的 SVM 的名称。

    • volume_name:发现警报的卷的名称。

    • volume_id: ONTAP为系统报告的卷的 ID。

  • 事件

    • incident_id:勒索软件恢复力针对勒索软件恢复力中受到攻击的卷生成的事件 ID。

    • alert_id:勒索软件恢复能力为工作负载生成的 ID。

    • severity:警报级别的严重程度:"CRITICAL"、"HIGH"、"MEDIUM"、"LOW"。

    • 描述:有关检测到的警报的详细信息,例如“在工作负载 arp_learning_mode_test_2630 上检测到潜在的勒索软件攻击”

    • title:检测到的警报的显示名称

    • criticality:对您环境中卷关键性的评估:"CRITICAL"、"IMPORTANT"、"STANDARD"。

    • incident_status:事件的活动状态,可以是:"NEW"、"RESOLVED"、"DISMISSED"、"AUTO_RESOLVED"。

    • first_detected:表示 Ransomware Resilience 首次检测到事件的时间戳。

    • is_readiness_drill:指示警报是演习还是实际事件的布尔值。

    • protocol:卷使用的协议。可能的值为"iSCSI"、"NFS"和"SMB"。

    • alert_type:检测到的威胁类型。可能的值为"Encryption"、"Data destruction"、"Data breach"和"Suspicious user behavior"。

    • user_name:与此警报关联的可疑用户的用户名。

    • user_id:与警报关联的可疑用户的用户 ID。

    • client_ips:与可疑活动关联的客户端 IP 地址列表,仅适用于 NFS 警报。

备注 只有在您已配置 用户行为检测 的情况下,user_nameuser_id 字段才具有相关性。

配置 AWS Security Hub 进行威胁检测

在 Ransomware Resilience 中启用 AWS Security Hub 之前,需要在 AWS Security Hub 中执行以下高级步骤:

  • 在 AWS Security Hub 中设置权限。

  • 在 AWS Security Hub 中设置身份验证访问密钥和密钥。 (此处未提供这些步骤。)

在 AWS Security Hub 中设置权限的步骤

  1. 转到 AWS IAM 控制台

  2. 选择*政策*。

  3. 使用以下 JSON 格式的代码创建策略:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

配置 Microsoft Sentinel 进行威胁检测

在 Ransomware Resilience 中启用 Microsoft Sentinel 之前,需要在 Microsoft Sentinel 中执行以下高级步骤:

  • 先决条件

    • 启用 Microsoft Sentinel。

    • 在 Microsoft Sentinel 中创建自定义角色。

  • 登记

    • 注册 Ransomware Resilience 以接收来自 Microsoft Sentinel 的事件。

    • 为注册创建一个秘密。

  • 权限:为应用程序分配权限。

  • 身份验证:输入应用程序的身份验证凭据。

启用 Microsoft Sentinel

  1. 转到 Microsoft Sentinel。

  2. 创建*Log Analytics 工作区*。

  3. 启用 Microsoft Sentinel 以使用您刚刚创建的 Log Analytics 工作区。

在 Microsoft Sentinel 中创建自定义角色

  1. 转到 Microsoft Sentinel。

  2. 选择*订阅* > 访问控制 (IAM)

  3. 输入自定义角色名称。使用名称 Ransomware Resilience Sentinel Configurator

  4. 复制以下 JSON 并将其粘贴到 JSON 选项卡中。

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. 检查并保存您的设置。

注册 Ransomware Resilience 以接收来自 Microsoft Sentinel 的事件

  1. 转到 Microsoft Sentinel。

  2. 选择 Entra ID > 应用程序 > 应用程序注册

  3. 对于应用程序的*显示名称*,输入“Ransomware Resilience”。

  4. 支持的帐户类型 字段中,选择 仅限此组织目录中的帐户

  5. 选择将推送事件的*默认索引*。

  6. 选择*审核*。

  7. 选择*注册*来保存您的设置。

    注册后,Microsoft Entra 管理中心将显示应用程序概述窗格。

为注册创建密钥

  1. 转到 Microsoft Sentinel。

  2. 选择*证书和机密* > 客户端机密 > 新客户端机密

  3. 为您的应用程序机密添加描述。

  4. 为秘密选择一个*到期日期*或指定自定义有效期。

    提示 客户端密钥的有效期限制为两年(24 个月)或更短。 Microsoft 建议您设置小于 12 个月的到期值。

  5. 选择“添加”来创建您的秘密。

  6. 记录身份验证步骤中使用的秘密。离开此页面后,该秘密将不再显示。

分配权限

  1. 转到 Microsoft Sentinel。

  2. 选择*订阅* > 访问控制 (IAM)

  3. 选择*添加* > 添加角色分配

  4. 对于*特权管理员角色*字段,选择*勒索软件弹性哨兵配置器*。

    提示 这是您之前创建的自定义角色。

  5. 选择“下一步”。

  6. 在*分配访问权限*字段中,选择*用户、组或服务主体*。

  7. 选择“选择成员”。然后,选择*Ransomware Resilience Sentinel Configurator*。

  8. 选择“下一步”。

  9. 在*用户可以做什么*字段中,选择*允许用户分配除特权管理员角色所有者、UAA、RBAC(推荐)之外的所有角色*。

  10. 选择“下一步”。

  11. 选择*审核并分配*来分配权限。

输入身份验证凭据

  1. 转到 Microsoft Sentinel。

  2. 输入凭证:

    1. 输入租户 ID、客户端应用程序 ID 和客户端应用程序密钥。

    2. 选择 Authenticate

      备注 认证成功后,会出现“已认证”的信息。

  3. 输入应用程序的 Log Analytics 工作区详细信息。

    1. 选择订阅 ID、资源组和 Log Analytics 工作区。

配置 Splunk Cloud 和 Splunk Enterprise 以进行威胁检测

Ransomware Resilience 支持使用 Splunk Cloud 和 Splunk Enterprise 进行威胁检测。在 Ransomware Resilience 中启用 Splunk 连接之前,您需要:

  • 在 Splunk Cloud 或 Enterprise 中启用 HTTP Event Collector,以通过 HTTP 或 HTTPS 从 Console 接收事件数据。

  • 在 Splunk Cloud 或 Enterprise 中创建事件收集器令牌。

备注 对于 Splunk Enterprise,您必须允许入站公共互联网流量,以便 Ransomware Resilience 能够使用提供的 HTTP 事件收集器详细信息推送事件。
在 Splunk 中启用 HTTP Event Collector

  1. 转到您选择的 Splunk 环境:云或企业。

  2. 选择*设置* > 数据输入

  3. 选择 HTTP 事件收集器 > 全局设置

  4. 在所有令牌切换上,选择*已启用*。

  5. 要让事件收集器通过 HTTPS 而不是 HTTP 进行监听和通信,请选择“启用 SSL”。

  6. 在“HTTP 端口号”中输入 HTTP 事件收集器的端口。

在 Splunk 中创建 Event Collector 令牌

  1. 转至 Splunk Cloud 或 Enterprise。

  2. 选择*设置* > 添加数据

  3. 选择*监控* > HTTP 事件收集器

  4. 输入令牌的名称并选择*下一步*。

  5. 选择将推送事件的*默认索引*,然后选择*审核*。

  6. 确认端点的所有设置正确,然后选择*提交*。

  7. 复制令牌并将其粘贴到另一个文档中,以准备进行身份验证步骤。

在勒索软件防御中连接 SIEM

启用 SIEM 会将勒索软件恢复数据发送到您的 SIEM 服务器以进行威胁分析和报告。

步骤

  1. 从控制台菜单中,选择*保护*>*勒索软件恢复*。

  2. 从勒索软件恢复菜单中,选择垂直垂直行动…​右上角的选项。

  3. 选择“设置”。

    出现“设置”页面。

    设置页面

  4. 在“设置”页面中,选择 SIEM 连接图块中的“连接”。

    启用威胁检测详细信息页面

  5. 选择其中一个 SIEM 系统。

  6. 输入您在 AWS Security Hub、Splunk Cloud 或 Splunk Enterprise 中配置的令牌和身份验证详细信息。

    备注 您输入的信息取决于您选择的 SIEM。

  7. 选择*启用*。

    设置页面显示“已连接”。

后续步骤