Skip to main content
BlueXP ransomware protection
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定 BlueXP 勒索軟體保護設定

貢獻者
PDF

您可以在儀表板上檢閱建議、或存取 * 設定 * 選項、來設定備份目的地或啟用威脅偵測。您也可以顯示未來的預覽功能。

啟用威脅偵測功能會自動將資料傳送至安全與事件管理系統( SIEM )、以進行威脅分析。

直接存取「設定」頁面

您可以從上方功能表附近的「動作」選項輕鬆存取「設定」頁面。

  1. 從 BlueXP 勒索軟體保護功能表中、選取垂直市場 垂直行動…​ 選項位於右上方。

  2. 從下拉式功能表中、選取 * 設定 * 。

  3. 在「設定」頁面中、您可以執行下列動作:

    • 新增備份目的地。

    • 連接您的安全與事件管理系統( SIEM )、進行威脅分析與偵測。

    • 顯示即將推出的預覽功能。

新增備份目的地

BlueXP 勒索軟體保護可識別尚未備份的工作負載、也可識別尚未指派任何備份目的地的工作負載。

若要保護這些工作負載、您應該新增備份目的地。您可以選擇下列其中一個備份目的地:

  • NetApp StorageGRID

  • Amazon Web Services(AWS)

  • Google Cloud Platform

  • Microsoft Azure

您可以根據儀表板的建議動作來新增備份目的地。

從儀表板的建議動作存取備份目的地選項

儀表板提供許多建議。其中一項建議可能是設定備份目的地。

步驟

  1. 從 BlueXP 左側瀏覽器中、選取 * 保護 * > * 勒索軟體保護 * 。

  2. 檢閱儀表板的建議動作窗格。

    儀表板頁面

  3. 從儀表板中、選取 * 檢閱和修正 * 、以取得「準備 <backup provider> 做為備份目的地」的建議。

  4. 根據備份供應商的不同、繼續執行相關指示。

從「動作」下拉式功能表存取「備份目的地」選項

您可以從上方功能表附近的「動作」選項輕鬆存取「設定」頁面。

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取垂直市場 垂直行動…​ 選項位於右上方。

  2. 從下拉式功能表中、選取 * 設定 * 。

  3. 若要新增備份目的地、請選取 * 新增 * 。

將 StorageGRID 新增為備份目的地

若要將 NetApp StorageGRID 設定為備份目的地、請輸入下列資訊。

步驟

  1. 在 * 設定 > 備份目的地 * 頁面中、選取 * 新增 * 。

  2. 輸入備份目的地的名稱。

    備份目的地頁面

  3. 選擇* StorageGRID 《《*》。

  4. 選取每個設定旁邊的向下箭頭、然後輸入或選取值:

    • * 供應商設定 * :

      • 建立新的儲存庫或自帶儲存備份的儲存庫。

      • StorageGRID 閘道節點完整網域名稱、連接埠、 StorageGRID 存取金鑰和秘密金鑰認證。

    • * 網路 * :選擇 IPspace 。

      • IPspace 是您要備份的磁碟區所在的叢集。此IPspace的叢集間生命體必須具有傳出網際網路存取。

  5. 選取*「Add*」。

結果

新的備份目的地會新增至備份目的地清單。

「備份目的地」頁面上的「設定」選項

將 Amazon Web Services 新增為備份目的地

若要將 AWS 設定為備份目的地、請輸入下列資訊。

如需在 BlueXP 中管理 AWS 儲存設備的詳細資訊、請參閱 "管理您的Amazon S3儲存庫"

步驟

  1. 在 * 設定 > 備份目的地 * 頁面中、選取 * 新增 * 。

  2. 輸入備份目的地的名稱。

    備份目的地頁面

  3. 選擇* Amazon Web Services*。

  4. 選取每個設定旁邊的向下箭頭、然後輸入或選取值:

    • * 供應商設定 * :

    • * 加密 * :如果您要建立新的 S3 儲存區、請輸入供應商提供給您的加密金鑰資訊。如果您選擇現有的儲存區、則加密資訊已可供使用。

      根據預設、儲存區中的資料會使用 AWS 管理的金鑰進行加密。您可以繼續使用 AWS 管理的金鑰、或是使用自己的金鑰來管理資料加密。

    • * 網路連線 * :選擇 IPspace 、以及是否要使用私有端點。

      • IPspace 是您要備份的磁碟區所在的叢集。此IPspace的叢集間生命體必須具有傳出網際網路存取。

      • 您也可以選擇是否要使用先前設定的 AWS 私有端點( Private Link )。

        如果您想要使用 AWS Private Link 、請參閱 "適用於 Amazon S3 的 AWS Private Link"

    • * 備份鎖定 * :選擇是否要讓服務保護備份不被修改或刪除。此選項使用 NetApp DataLock 技術。每個備份都會在保留期間內鎖定、或至少 30 天、再加上最多 14 天的緩衝期間。

      警告 如果您現在設定備份鎖定設定、則無法在設定備份目的地之後再變更設定。

      • * 監管模式 * :特定使用者(具有 S3 : BypassGovernanceRetention 權限)可在保留期間覆寫或刪除受保護的檔案。

      • * 法規遵循模式 * :使用者無法在保留期間覆寫或刪除受保護的備份檔案。

  5. 選取*「Add*」。

結果

新的備份目的地會新增至備份目的地清單。

「備份目的地」頁面上的「設定」選項

將 Google Cloud Platform 新增為備份目的地

若要將 Google Cloud Platform ( GCP )設定為備份目的地、請輸入下列資訊。

如需在 BlueXP  中管理 GCP 儲存設備的詳細資訊 "Google Cloud 中的 Connector 安裝選項"、請參閱。

步驟

  1. 在 * 設定 > 備份目的地 * 頁面中、選取 * 新增 * 。

  2. 輸入備份目的地的名稱。

    備份目的地頁面

  3. 選擇* Google Cloud Platform *。

  4. 選取每個設定旁邊的向下箭頭、然後輸入或選取值:

    • * 供應商設定 * :

      • 建立新的貯體。輸入存取金鑰和秘密金鑰。

      • 輸入或選擇您的 Google Cloud Platform 專案和地區。

    • * 加密 * :如果您要建立新的儲存格、請輸入供應商提供給您的加密金鑰資訊。如果您選擇現有的儲存區、則加密資訊已可供使用。

      依預設、儲存庫中的資料會使用 Google 託管的金鑰進行加密。您可以繼續使用 Google 託管的金鑰。

    • * 網路連線 * :選擇 IPspace 、以及是否要使用私有端點。

      • IPspace 是您要備份的磁碟區所在的叢集。此IPspace的叢集間生命體必須具有傳出網際網路存取。

      • 您也可以選擇是否要使用先前設定的 GCP 私有端點( Private Link )。

  5. 選取*「Add*」。

結果

新的備份目的地會新增至備份目的地清單。

將 Microsoft Azure 新增為備份目的地

若要將 Azure 設定為備份目的地、請輸入下列資訊。

如需在 BlueXP 中管理 Azure 認證和市場訂閱的詳細資訊、請參閱 "管理您的 Azure 認證和市場訂閱"

步驟

  1. 在 * 設定 > 備份目的地 * 頁面中、選取 * 新增 * 。

  2. 輸入備份目的地的名稱。

    備份目的地頁面

  3. 選擇 * Azure * 。

  4. 選取每個設定旁邊的向下箭頭、然後輸入或選取值:

    • * 供應商設定 * :

    • * 加密 * :如果您要建立新的儲存帳戶、請輸入供應商提供給您的加密金鑰資訊。如果您選擇現有的帳戶、則加密資訊已可供使用。

      根據預設、帳戶中的資料會使用 Microsoft 管理的金鑰進行加密。您可以繼續使用 Microsoft 託管的金鑰、也可以使用自己的金鑰來管理資料加密。

    • * 網路連線 * :選擇 IPspace 、以及是否要使用私有端點。

      • IPspace 是您要備份的磁碟區所在的叢集。此IPspace的叢集間生命體必須具有傳出網際網路存取。

      • 您也可以選擇是否要使用先前設定的 Azure 私有端點。

        如果您想要使用 Azure Private Link 、請參閱 "Azure Private Link"

  5. 選取*「Add*」。

結果

新的備份目的地會新增至備份目的地清單。

「備份目的地」頁面上的「設定」選項

啟用威脅偵測

您可以自動將資料傳送至安全與事件管理系統( SIEM )、以進行威脅分析與偵測。您可以選擇 AWS Security Hub , Microsoft Sentinel 或 Splunk Cloud 做為 SIEM 。

在 BlueXP  勒索軟體保護中啟用 SIEM 之前、您必須先設定 SIEM 系統。

設定 AWS Security Hub 進行威脅偵測

在 BlueXP  勒索軟體保護中啟用 AWS Security Hub 之前、您必須先在 AWS Security Hub 中執行下列高階步驟:

  • 在 AWS Security Hub 中設定權限。

  • 在 AWS Security Hub 中設定驗證存取金鑰和秘密金鑰。(此處不提供這些步驟。)

在 AWS Security Hub 中設定權限的步驟

  1. 前往 * AWS IAM 主控台 * 。

  2. 選取 * 原則 * 。

  3. 使用以下 JSON 格式的程式碼建立原則:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}

設定 Microsoft Sentinel 進行威脅偵測

在 BlueXP  勒索軟體保護中啟用 Microsoft Sentinel 之前,您必須先在 Microsoft Sentinel 中執行下列高階步驟:

  • 先決條件

    • 啟用 Microsoft Sentinel 。

    • 在 Microsoft Sentinel 中建立自訂角色。

  • * 註冊 *

    • 註冊 BlueXP  勒索軟體保護,以接收來自 Microsoft Sentinel 的事件。

    • 建立登錄密碼。

  • * 權限 * :指派應用程式的權限。

  • * 驗證 * :輸入應用程式的驗證認證。

啟用 Microsoft Sentinel 的步驟

  1. 前往 Microsoft Sentinel 。

  2. 建立 * 記錄分析工作區 * 。

  3. 啟用 Microsoft Sentinel 以使用您剛建立的 Log Analytics 工作區。

在 Microsoft Sentinel 中建立自訂角色的步驟

  1. 前往 Microsoft Sentinel 。

  2. 選擇 * 訂閱 * > * 存取控制( IAM ) * 。

  3. 輸入自訂角色名稱。使用名稱 * 勒索軟體保護 BlueXP  組態器 * 。

  4. 複製下列 JSON 並貼到 * JSON* 標籤中。

    {
  "roleName": "BlueXP Ransomware Protection Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. 檢閱並儲存您的設定。

註冊 BlueXP  勒索軟體保護以接收來自 Microsoft Sentinel 的事件的步驟

  1. 前往 Microsoft Sentinel 。

  2. 選擇 * Entra ID* > * Applications* > * 應用程式註冊 * 。

  3. 對於應用程式的 * 顯示名稱 * ,請輸入「 * BlueXP  勒索軟體保護 * 」。

  4. 在 * 支援的帳戶類型 * 欄位中,選取 * 僅此組織目錄中的帳戶 * 。

  5. 選擇一個 * 預設索引 * ,以推送事件。

  6. 選擇* Review *。

  7. 選擇 * 註冊 * 以儲存您的設定。

    註冊之後, Microsoft Entra 管理中心會顯示應用程式概觀窗格。

建立登錄秘密的步驟

  1. 前往 Microsoft Sentinel 。

  2. 選擇 * 證書和機密 * > * 客戶機密 * > * 新客戶機密 * 。

  3. 新增應用程式機密的說明。

  4. 選擇一個 * 過期 * 作爲機密,或指定自定義壽命。

    提示 用戶端機密生命週期限制為兩年( 24 個月)或更短。Microsoft 建議您將到期值設定為少於 12 個月。

  5. 選取 * 新增 * 以建立您的秘密。

  6. 在驗證步驟中記錄要使用的機密。離開此頁面後,不會再顯示密碼。

指派應用程式權限的步驟

  1. 前往 Microsoft Sentinel 。

  2. 選擇 * 訂閱 * > * 存取控制( IAM ) * 。

  3. 選取 * 新增 * > * 新增角色指派 * 。

  4. 對於 * 貴賓管理員角色 * 欄位,請選取 * 勒索軟體保護 BlueXP  組態器 * 。

    提示 這是您先前建立的自訂角色。

  5. 選擇*下一步*。

  6. 在 * 指派存取權限給 * 欄位中,選取 * 使用者,群組或服務主體 * 。

  7. 選取 * 選取成員 * 。然後,選取 * 勒索軟體保護 BlueXP  組態器 * 。

  8. 選擇*下一步*。

  9. 在 * 使用者可以做什麼 * feld 中,選取 * 允許使用者指派所有角色,但特權管理員角色擁有者, UAA , RBAC (建議) * 除外。

  10. 選擇*下一步*。

  11. 選取 * 檢閱並指派 * 來指派權限。

輸入應用程式驗證認證的步驟

  1. 前往 Microsoft Sentinel 。

  2. 輸入認證:

    1. 輸入租戶 ID ,用戶端應用程式 ID 和用戶端應用程式機密。

    2. 按一下*驗證*。

      註 驗證成功後,會出現「驗證」訊息。

  3. 輸入應用程式的 Log Analytics 工作區詳細資料。

    1. 選取訂閱 ID ,資源群組和記錄分析工作區。

設定 Splunk Cloud 進行威脅偵測

在 BlueXP  勒索軟體保護中啟用 Splunk Cloud 之前、您必須先在 Splunk Cloud 中執行下列高階步驟:

  • 啟用 Splunk Cloud 中的 HTTP 事件收集器、以透過 BlueXP  的 HTTP 或 HTTPS 接收事件資料。

  • 在 Splunk Cloud 中建立事件收集器權杖。

在 Splunk 中啟用 HTTP 事件收集器的步驟

  1. 前往 Splunk Cloud 。

  2. 選擇 * 設定 * > * 資料輸入 * 。

  3. 選取 *HTTP 事件收集器 * > * 全域設定 * 。

  4. 在 All Tokens (所有令牌)切換中,選擇 Enabled ( * 啓用 * )。

  5. 若要讓事件收集器透過 HTTPS (而非 HTTP )接聽及通訊、請選取 * 啟用 SSL* 。

  6. 在 *HTTP 連接埠編號 * 中輸入 HTTP 事件收集器的連接埠。

在 Splunk 中建立事件收集器權杖的步驟

  1. 前往 Splunk Cloud 。

  2. 選取 * 設定 * > * 新增資料 * 。

  3. 選取 * 監控 * > * HTTP 事件收集器 * 。

  4. 輸入 Token 的名稱、然後選取 * 下一步 * 。

  5. 選擇一個 * 預設索引 * 、其中會推送事件、然後選擇 * 審查 * 。

  6. 確認端點的所有設定都正確、然後選取 * 提交 * 。

  7. 複製權杖並貼到另一份文件中、讓它準備好進行驗證步驟。

在 BlueXP  勒索軟體保護中連線 SIEM

啟用 SIEM 會將 BlueXP  勒索軟體保護的資料傳送至 SIEM 伺服器、以進行威脅分析和報告。

步驟

  1. 從 BlueXP  功能表中、選取 * 保護 * > * 勒索軟體保護 * 。

  2. 從 BlueXP 勒索軟體保護功能表中、選取垂直市場 垂直行動…​ 選項位於右上方。

  3. 選取 * 設定 * 。

    隨即顯示「設定」頁面。

    設定頁面

  4. 在「設定」頁面中,選取 SIEM 連線方塊中的 * 連線 * 。

    啟用威脅偵測詳細資料頁面

  5. 選擇其中一個 SIEM 系統。

  6. 輸入您在 AWS Security Hub 或 Splunk Cloud 中設定的權杖和驗證詳細資料。

    註 您輸入的資訊取決於您選擇的 SIEM 。

  7. 選取 * 啟用 * 。

    「設定」頁面會顯示「已連線」。

顯示預覽功能

您可以在即將推出的「預覽」功能發行之前試用這些功能。這些功能會在 UI 中顯示「預覽」標籤。

開始之前

您需要 BlueXP  勒索軟體保護產品團隊提供的金鑰,才能顯示「預覽」功能。若要取得金鑰,請傳送電子郵件至 mailto : NetApp .com 。

步驟

  1. 從 BlueXP 勒索軟體保護功能表中、選取垂直市場 垂直行動…​ 選項位於右上方。

  2. 選取 * 設定 * 。

    設定頁面

  3. 在 * 預覽功能 * 方塊中,選取 * 顯示 * 。

  4. 輸入金鑰。

  5. 選取 * 顯示 * 。