設定 BlueXP 勒索軟體保護設定
您可以在儀表板上檢閱建議、或存取 * 設定 * 選項、來設定備份目的地或啟用威脅偵測。
啟用威脅偵測功能會自動將資料傳送至安全與事件管理系統( SIEM )、以進行威脅分析。
直接存取「設定」頁面
您可以從上方功能表附近的「動作」選項輕鬆存取「設定」頁面。
-
從 BlueXP 勒索軟體保護功能表中、選取垂直市場 … 選項位於右上方。
-
從下拉式功能表中、選取 * 設定 * 。
-
在「設定」頁面中、您可以執行下列動作:
-
新增備份目的地。
-
連接您的安全與事件管理系統( SIEM )、進行威脅分析與偵測。
-
新增備份目的地
BlueXP 勒索軟體保護可識別尚未備份的工作負載、也可識別尚未指派任何備份目的地的工作負載。
若要保護這些工作負載、您應該新增備份目的地。您可以選擇下列其中一個備份目的地:
-
NetApp StorageGRID
-
Amazon Web Services(AWS)
-
Google Cloud Platform
-
Microsoft Azure
您可以根據儀表板的建議動作來新增備份目的地。
從儀表板的建議動作存取備份目的地選項
儀表板提供許多建議。其中一項建議可能是設定備份目的地。
-
從 BlueXP 左側瀏覽器中、選取 * 保護 * > * 勒索軟體保護 * 。
-
檢閱儀表板的建議動作窗格。
-
從儀表板中、選取 * 檢閱和修正 * 、以取得「準備 <backup provider> 做為備份目的地」的建議。
-
根據備份供應商的不同、繼續執行相關指示。
從「動作」下拉式功能表存取「備份目的地」選項
您可以從上方功能表附近的「動作」選項輕鬆存取「設定」頁面。
-
從 BlueXP 勒索軟體保護功能表中、選取垂直市場 … 選項位於右上方。
-
從下拉式功能表中、選取 * 設定 * 。
-
若要新增備份目的地、請選取 * 新增 * 。
將 StorageGRID 新增為備份目的地
若要將 NetApp StorageGRID 設定為備份目的地、請輸入下列資訊。
-
在 * 設定 > 備份目的地 * 頁面中、選取 * 新增 * 。
-
輸入備份目的地的名稱。
-
選擇* StorageGRID 《》《*》。
-
選取每個設定旁邊的向下箭頭、然後輸入或選取值:
-
* 供應商設定 * :
-
建立新的儲存庫或自帶儲存備份的儲存庫。
-
StorageGRID 閘道節點完整網域名稱、連接埠、 StorageGRID 存取金鑰和秘密金鑰認證。
-
-
* 網路 * :選擇 IPspace 。
-
IPspace 是您要備份的磁碟區所在的叢集。此IPspace的叢集間生命體必須具有傳出網際網路存取。
-
-
-
選取*「Add*」。
新的備份目的地會新增至備份目的地清單。
將 Amazon Web Services 新增為備份目的地
若要將 AWS 設定為備份目的地、請輸入下列資訊。
如需在 BlueXP 中管理 AWS 儲存設備的詳細資訊、請參閱 "管理您的Amazon S3儲存庫"。
-
在 * 設定 > 備份目的地 * 頁面中、選取 * 新增 * 。
-
輸入備份目的地的名稱。
-
選擇* Amazon Web Services*。
-
選取每個設定旁邊的向下箭頭、然後輸入或選取值:
-
* 供應商設定 * :
-
建立新的儲存庫、如果 BlueXP 中已有現有儲存庫、請選取現有的儲存庫、或是自帶儲存備份的儲存庫。
-
AWS 帳戶、區域、存取金鑰和 AWS 認證的秘密金鑰
-
-
* 加密 * :如果您要建立新的 S3 儲存區、請輸入供應商提供給您的加密金鑰資訊。如果您選擇現有的儲存區、則加密資訊已可供使用。
根據預設、儲存區中的資料會使用 AWS 管理的金鑰進行加密。您可以繼續使用 AWS 管理的金鑰、或是使用自己的金鑰來管理資料加密。
-
* 網路連線 * :選擇 IPspace 、以及是否要使用私有端點。
-
IPspace 是您要備份的磁碟區所在的叢集。此IPspace的叢集間生命體必須具有傳出網際網路存取。
-
您也可以選擇是否要使用先前設定的 AWS 私有端點( Private Link )。
如果您想要使用 AWS Private Link 、請參閱 "適用於 Amazon S3 的 AWS Private Link"。
-
-
* 備份鎖定 * :選擇是否要讓服務保護備份不被修改或刪除。此選項使用 NetApp DataLock 技術。每個備份都會在保留期間內鎖定、或至少 30 天、再加上最多 14 天的緩衝期間。
如果您現在設定備份鎖定設定、則無法在設定備份目的地之後再變更設定。 -
* 監管模式 * :特定使用者(具有 S3 : BypassGovernanceRetention 權限)可在保留期間覆寫或刪除受保護的檔案。
-
* 法規遵循模式 * :使用者無法在保留期間覆寫或刪除受保護的備份檔案。
-
-
-
選取*「Add*」。
新的備份目的地會新增至備份目的地清單。
將 Google Cloud Platform 新增為備份目的地
若要將 Google Cloud Platform ( GCP )設定為備份目的地、請輸入下列資訊。
如需在 BlueXP 中管理 GCP 儲存設備的詳細資訊 "Google Cloud 中的 Connector 安裝選項"、請參閱。
-
在 * 設定 > 備份目的地 * 頁面中、選取 * 新增 * 。
-
輸入備份目的地的名稱。
-
選擇* Google Cloud Platform *。
-
選取每個設定旁邊的向下箭頭、然後輸入或選取值:
-
* 供應商設定 * :
-
建立新的貯體。輸入存取金鑰和秘密金鑰。
-
輸入或選擇您的 Google Cloud Platform 專案和地區。
-
-
* 加密 * :如果您要建立新的儲存格、請輸入供應商提供給您的加密金鑰資訊。如果您選擇現有的儲存區、則加密資訊已可供使用。
依預設、儲存庫中的資料會使用 Google 託管的金鑰進行加密。您可以繼續使用 Google 託管的金鑰。
-
* 網路連線 * :選擇 IPspace 、以及是否要使用私有端點。
-
IPspace 是您要備份的磁碟區所在的叢集。此IPspace的叢集間生命體必須具有傳出網際網路存取。
-
您也可以選擇是否要使用先前設定的 GCP 私有端點( Private Link )。
-
-
-
選取*「Add*」。
新的備份目的地會新增至備份目的地清單。
將 Microsoft Azure 新增為備份目的地
若要將 Azure 設定為備份目的地、請輸入下列資訊。
如需在 BlueXP 中管理 Azure 認證和市場訂閱的詳細資訊、請參閱 "管理您的 Azure 認證和市場訂閱"。
-
在 * 設定 > 備份目的地 * 頁面中、選取 * 新增 * 。
-
輸入備份目的地的名稱。
-
選擇 * Azure * 。
-
選取每個設定旁邊的向下箭頭、然後輸入或選取值:
-
* 供應商設定 * :
-
建立新的儲存帳戶、如果 BlueXP 中已有現有帳戶、請選取現有帳戶、或是帶上您自己的儲存帳戶來儲存備份。
-
Azure 認證的 Azure 訂閱、區域和資源群組
-
-
* 加密 * :如果您要建立新的儲存帳戶、請輸入供應商提供給您的加密金鑰資訊。如果您選擇現有的帳戶、則加密資訊已可供使用。
根據預設、帳戶中的資料會使用 Microsoft 管理的金鑰進行加密。您可以繼續使用 Microsoft 託管的金鑰、也可以使用自己的金鑰來管理資料加密。
-
* 網路連線 * :選擇 IPspace 、以及是否要使用私有端點。
-
IPspace 是您要備份的磁碟區所在的叢集。此IPspace的叢集間生命體必須具有傳出網際網路存取。
-
您也可以選擇是否要使用先前設定的 Azure 私有端點。
如果您想要使用 Azure Private Link 、請參閱 "Azure Private Link"。
-
-
-
選取*「Add*」。
新的備份目的地會新增至備份目的地清單。
啟用威脅偵測
您可以自動將資料傳送至安全與事件管理系統( SIEM )、以進行威脅分析與偵測。您可以選擇 AWS Security Hub 或 Splunk Cloud 做為 SIEM 。
在 BlueXP 勒索軟體保護中啟用 SIEM 之前、您必須先設定 SIEM 系統。
設定 AWS Security Hub 進行威脅偵測
在 BlueXP 勒索軟體保護中啟用 AWS Security Hub 之前、您必須先在 AWS Security Hub 中執行下列高階步驟:
-
在 AWS Security Hub 中設定權限。
-
在 AWS Security Hub 中設定驗證存取金鑰和秘密金鑰。(此處不提供這些步驟。)
-
前往 * AWS IAM 主控台 * 。
-
選取 * 原則 * 。
-
使用以下 JSON 格式的程式碼建立原則:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NetAppSecurityHubFindings", "Effect": "Allow", "Action": [ "securityhub:BatchImportFindings", "securityhub:BatchUpdateFindings" ], "Resource": [ "arn:aws:securityhub:*:*:product/*/default", "arn:aws:securityhub:*:*:hub/default" ] } ] }
設定 Splunk Cloud 進行威脅偵測
在 BlueXP 勒索軟體保護中啟用 Splunk Cloud 之前、您必須先在 Splunk Cloud 中執行下列高階步驟:
-
啟用 Splunk Cloud 中的 HTTP 事件收集器、以透過 BlueXP 的 HTTP 或 HTTPS 接收事件資料。
-
在 Splunk Cloud 中建立事件收集器權杖。
-
前往 Splunk Cloud 。
-
選擇 * 設定 * > * 資料輸入 * 。
-
選取 *HTTP 事件收集器 * > * 全域設定 * 。
-
在 All Tokens (所有令牌)切換中,選擇 Enabled ( * 啓用 * )。
-
若要讓事件收集器透過 HTTPS (而非 HTTP )接聽及通訊、請選取 * 啟用 SSL* 。
-
在 *HTTP 連接埠編號 * 中輸入 HTTP 事件收集器的連接埠。
-
前往 Splunk Cloud 。
-
選取 * 設定 * > * 新增資料 * 。
-
選取 * 監控 * > * HTTP 事件收集器 * 。
-
輸入 Token 的名稱、然後選取 * 下一步 * 。
-
選擇一個 * 預設索引 * 、其中會推送事件、然後選擇 * 審查 * 。
-
確認端點的所有設定都正確、然後選取 * 提交 * 。
-
複製權杖並貼到另一份文件中、讓它準備好進行驗證步驟。
在 BlueXP 勒索軟體保護中連線 SIEM
啟用 SIEM 會將 BlueXP 勒索軟體保護的資料傳送至 SIEM 伺服器、以進行威脅分析和報告。
-
從 BlueXP 功能表中、選取 * 保護 * > * 勒索軟體保護 * 。
-
從 BlueXP 勒索軟體保護功能表中、選取垂直市場 … 選項位於右上方。
-
選取 * 設定 * 。
隨即顯示「設定」頁面。
-
在「設定」頁面中、選取 SIEM 連線窗格中的 * 連線 * 。
-
選擇其中一個 SIEM 系統。
-
輸入您在 AWS Security Hub 或 Splunk Cloud 中設定的權杖和驗證詳細資料。
您輸入的資訊取決於您選擇的 SIEM 。 -
選取 * 啟用 * 。
「設定」頁面會顯示「已連線」。
中斷 SIEM 連線
中斷 SIEM 連線會停止服務傳送資料至 SIEM 伺服器。
-
從 BlueXP 功能表中、選取 * 保護 * > * 勒索軟體保護 * 。
-
從 BlueXP 勒索軟體保護功能表中、選取垂直市場 … 選項位於右上方。
-
選取 * 設定 * 。
-
在 SIEM 連線窗格中、選取 * 中斷連線 * 。
-
在確認頁面中、選取 * 中斷連線 * 。