Skip to main content
NetApp Ransomware Resilience
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

將 NetApp Ransomware Resilience 連接至 SIEM 以進行威脅分析與偵測

貢獻者 netapp-ahibbard
PDF

安全資訊和事件管理 (SIEM) 系統集中管理日誌和事件資料,從而提供對安全事件和合規性的深入洞察。NetApp Ransomware Resilience 支援自動將資料傳送到您的 SIEM,以簡化威脅分析和偵測流程。

Ransomware Resilience 支援以下 SIEM 系統:

  • AWS Security Hub

  • Google SecOps

  • Microsoft Sentinel

  • Splunk Cloud

  • Splunk Enterprise

提示 NetApp Ransomware Resilience 也提供 "安全協調、自動化和回應(SOAR)劇本"

傳送至 SIEM 的事件資料

Ransomware Resilience 可以將以下事件資料傳送到您的 SIEM 系統:

  • 情境:

    • os:這是一個具有ONTAP值的常數。

    • os_version:系統上執行的ONTAP版本。

    • connector_id:管理系統的控制台代理的 ID。

    • cluster_id: ONTAP為系統報告的叢集 ID。

    • svm_name:發現警報的 SVM 的名稱。

    • volume_name:發現警報的磁碟區的名稱。

    • volume_id: ONTAP為系統報告的磁碟區的 ID。

  • 事件

    • incident_id:勒索軟體復原力針對勒索軟體復原力中受到攻擊的捲所產生的事件 ID。

    • alert_id:勒索軟體復原能力為工作負載產生的 ID。

    • severity:警示層級的嚴重程度:「CRITICAL」、「HIGH」、「MEDIUM」、「LOW」。

    • 描述:有關檢測到的警報的詳細信息,例如“在工作負載 arp_learning_mode_test_2630 上檢測到潛在的勒索軟體攻擊”

    • title:偵測到的警示的顯示名稱。

    • criticality:評估您環境中磁碟區的重要性:「CRITICAL」、「IMPORTANT」、「STANDARD」。

    • incident_status:事件的作用中狀態,可以是:「NEW」、「RESOLVED」、「DISMISSED」、「AUTO_RESOLVED」。

    • first_detected:Ransomware Resilience 首次偵測到該事件的時間戳記。

    • is_readiness_drill:一個布林值,指示警示是演習還是實際事件。

    • protocol:磁碟區使用的傳輸協定。可能的值為「iSCSI」、「NFS」和「SMB」。

    • alert_type:偵測到的威脅類型。可能的值包括 "Encryption"、"Data destruction"、"Data breach" 和 "Suspicious user behavior"。

    • user_name:與警示相關聯的可疑使用者的使用者名稱。

    • user_id:與警示相關聯的可疑使用者的使用者 ID。

    • client_ips:與可疑活動相關聯的用戶端 IP 位址清單,僅適用於 NFS 警示。

註 只有在您配置了 使用者行為偵測 之後,user_nameuser_id 欄位才相關。

設定 AWS Security Hub 進行威脅偵測

在 Ransomware Resilience 中啟用 AWS Security Hub 之前,您需要在 AWS Security Hub 中執行以下幾個主要步驟:

  • 在 AWS Security Hub 中設定權限。

  • 在 AWS Security Hub 中設定身份驗證存取金鑰和金鑰。 (此處未提供這些步驟。)

在 AWS Security Hub 中設定權限的步驟

  1. 前往 AWS IAM 控制台

  2. 選擇*政策*。

  3. 使用以下 JSON 格式的程式碼建立策略:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "NetAppSecurityHubFindings",
      "Effect": "Allow",
      "Action": [
        "securityhub:BatchImportFindings",
        "securityhub:BatchUpdateFindings"
      ],
      "Resource": [
        "arn:aws:securityhub:*:*:product/*/default",
        "arn:aws:securityhub:*:*:hub/default"
      ]
    }
  ]
}
在 Ransomware Resilience 中驗證 AWS Security Hub

  1. 在 Ransomware Resilience 中,選取側邊欄中的 Settings

    設定頁面

  2. 在「設定」頁面中,選擇 SIEM 連線圖塊中的「連線」。

    啟用威脅偵測詳細資訊頁面

  3. 選擇 AWS Security Hub 作為 SIEM 供應商。

  4. 檢閱 權限 區段。

  5. 展開 Authentication 部分。

    1. 輸入 AWS 帳戶,然後選擇該帳戶的 AWS 區域

    2. 輸入來自 AWS Security Hub 的 Access keySecret key

  6. 選擇 Connect 開始傳送 SIEM 資料。

配置 Google SecOps 進行威脅偵測

在 Ransomware Resilience 中啟用 Google SecOps 之前,您需要在 Google SecOps 中註冊日誌類型和 webhook,以啟用服務之間的連線。

建立日誌類型

  1. 前往 Google SecOps。

  2. 導覽至 Settings > SIEM Settings > Available Log Types

    建議您使用 NETAPP_RANSOMWARE_RESILIENCE 記錄類型。如果您不想使用此類型,請建立自訂記錄類型。

  3. 如果您使用 NETAPP_RANSOMWARE_RESILIENCE 日誌類型,它包含一個預先建置的解析器,而無需執行任何其他操作。

    如果使用自訂日誌類型,則必須建立解析器。請前往 SIEM Settings > Parsers > Create Parser 來建立解析器。

註冊 webhook

  1. 瀏覽至 Google SecOps。

  2. 導覽至 Settings > SIEM settings > Feeds

  3. 選擇 Add new feed

  4. 選擇您在「建立日誌類型」工作流程中使用的日誌類型。

  5. Source type 設定為 Webhook,然後儲存摘要。

  6. 開啟 Details 標籤。複製 Webhook endpoint URL,以便在 NetApp Ransomware Resilience 中進行驗證時使用。

  7. 開啟 Secret key 標籤。產生密鑰,或者如果您已經建立了密鑰,則複製它。儲存金鑰,以便在 NetApp Ransomware Resilience 中進行身份驗證時使用。

  8. 使用貴組織的 Google API 金鑰流程建立 API 金鑰

在 Ransomware Resilience 中驗證 Google SecOps

  1. 在 Ransomware Resilience 中,選取側邊欄中的 Settings

    設定頁面

  2. 在「設定」頁面中,選擇 SIEM 連線圖塊中的「連線」。

    啟用威脅偵測詳細資訊頁面

  3. 選擇 Google SecOps 作為 SIEM 供應商。

  4. 請查看 PrerequisitesWebhook feed 部分。

  5. 展開 Authentication 部分。

    1. 輸入您從 Google SecOps 的 webhook 端點 URL 複製的 Webhook URL

    2. 輸入來自 Google SecOps 的 Secret keyAPI key

  6. 選擇 Connect 開始傳送 SIEM 資料。

設定 Microsoft Sentinel 進行威脅偵測

在 Ransomware Resilience 中啟用 Microsoft Sentinel 之前,您需要在 Microsoft Sentinel 中執行以下幾個主要步驟:

  • 先決條件

    • 啟用 Microsoft Sentinel。

    • 在 Microsoft Sentinel 中建立自訂角色。

  • 登記

    • 註冊 Ransomware Resilience 以接收來自 Microsoft Sentinel 的事件。

    • 為註冊創建一個秘密。

  • 權限:為應用程式指派權限。

  • 身份驗證:輸入應用程式的身份驗證憑證。

啟用 Microsoft Sentinel

  1. 前往 Microsoft Sentinel。

  2. 建立*Log Analytics 工作區*。

  3. 啟用 Microsoft Sentinel 以使用您剛剛建立的 Log Analytics 工作區。

在 Microsoft Sentinel 中建立自訂角色

  1. 前往 Microsoft Sentinel。

  2. 選擇*訂閱* > 存取控制 (IAM)

  3. 輸入自訂角色名稱。使用名稱 Ransomware Resilience Sentinel Configurator

  4. 複製以下 JSON 並將其貼上到 JSON 標籤中。

    {
  "roleName": "Ransomware Resilience Sentinel Configurator",
  "description": "",
  "assignableScopes":["/subscriptions/{subscription_id}"],
  "permissions": [

  ]
}

  5. 檢查並儲存您的設定。

驗證 Ransomware Resilience 以接收來自 Microsoft Sentinel 的事件

  1. 前往 Microsoft Sentinel。

  2. 選擇 Entra ID > 應用程式 > 應用程式註冊

  3. 對於應用程式的*顯示名稱*,輸入「Ransomware Resilience」。

  4. 支援的帳戶類型 欄位中,選擇 僅限此組織目錄中的帳戶

  5. 選擇將推送事件的*預設索引*。

  6. 選擇*審核*。

  7. 選擇*註冊*來儲存您的設定。

    註冊後,Microsoft Entra 管理中心將顯示應用程式概述窗格。

為註冊建立密碼

  1. 前往 Microsoft Sentinel。

  2. 選擇*憑證和機密* > 客戶端機密 > 新客戶端機密

  3. 為您的應用程式機密新增描述。

  4. 為秘密選擇一個*到期日*或指定自訂有效期限。

    提示 客戶端金鑰的有效期限限制為兩年(24 個月)或更短。 Microsoft 建議您設定小於 12 個月的到期值。

  5. 選擇“新增”來建立您的秘密。

  6. 記錄身份驗證步驟中使用的秘密。離開此頁面後,該秘密將不再顯示。

指派權限

  1. 前往 Microsoft Sentinel。

  2. 選擇*訂閱* > 存取控制 (IAM)

  3. 選擇*新增* > 新增角色分配

  4. 對於*特權管理員角色*字段,選擇*勒索軟體彈性哨兵配置器*。

    提示 這是您之前創建的自訂角色。

  5. 選擇“下一步”。

  6. 在*指派存取權限*欄位中,選擇*使用者、群組或服務主體*。

  7. 選擇“選擇成員”。然後,選擇*Ransomware Resilience Sentinel Configurator*。

  8. 選擇“下一步”。

  9. 在*使用者可以做什麼*欄位中,選擇*允許使用者指派除特權管理員角色擁有者、UAA、RBAC(建議)之外的所有角色*。

  10. 選擇“下一步”。

  11. 選擇*審核並分配*來分配權限。

輸入驗證認證資料

  1. 前往 Microsoft Sentinel。

  2. 輸入憑證:

    1. 輸入租用戶 ID、客戶端應用程式 ID 和客戶端應用程式金鑰。

    2. 選擇 Authenticate

      註 認證成功後,會出現「已認證」的資訊。

  3. 輸入應用程式的 Log Analytics 工作區詳細資訊。

    1. 選擇訂閱 ID、資源群組和 Log Analytics 工作區。

在 Ransomware Resilience 中驗證 Microsoft Sentinel

  1. 在 Ransomware Resilience 中,選取側邊欄中的 Settings

    設定頁面

  2. 在「設定」頁面中,選擇 SIEM 連線圖塊中的「連線」。

    啟用威脅偵測詳細資訊頁面

  3. 選擇 Microsoft Sentinel 作為 SIEM 提供者。

  4. 請查看 PrerequisitesRegistrationPermissions 部分,確保您已成功完成每個步驟。

  5. 展開 Authentication 部分。

    1. 輸入 Directory (tenant) IDApplication (tenant) IDClient secret。選擇 Authenticate,然後等待 UI 確認認證資料已通過驗證。

    2. 在下拉式選單中,選擇要將 SIEM 資料傳送至的 Subscription IDResource groupLog analytics workspace

  6. 選擇 Connect 開始傳送 SIEM 資料。

設定 Splunk Cloud 和 Splunk Enterprise 以進行威脅偵測

勒索軟體復原功能支援使用 Splunk Cloud 和 Splunk Enterprise 進行威脅偵測。在勒索軟體復原功能中啟用 Splunk 連線之前,您需要:

  • 在 Splunk Cloud 或 Enterprise 中啟用 HTTP Event Collector,以便透過 HTTP 或 HTTPS 從 Console 接收事件資料。

  • 在 Splunk Cloud 或 Enterprise 中建立 Event Collector 權杖。

註 對於 Splunk Enterprise,您必須允許入站公共網際網路流量,以便 Ransomware Resilience 能夠使用提供給它的 HTTP 事件收集器詳細資訊推送事件。
在 Splunk 中啟用 HTTP Event Collector

  1. 前往您選擇的 Splunk 環境:Cloud 或 Enterprise。

  2. 選擇*設定* > 資料輸入

  3. 選擇 HTTP 事件收集器 > 全域設定

  4. 在所有令牌切換上,選擇*已啟用*。

  5. 若要讓事件收集器透過 HTTPS 而不是 HTTP 進行監聽和通信,請選擇「啟用 SSL」。

  6. HTTP Port Number 中輸入 HTTP Event Collector 的連接埠。儲存連接埠號碼以用於驗證程序。

在 Splunk 中建立 Event Collector 權杖

  1. 前往 Splunk Cloud 或 Enterprise。

  2. 選擇*設定* > 新增資料

  3. 選擇*監控* > HTTP 事件收集器

  4. 輸入令牌的名稱並選擇*下一步*。

  5. 選擇將推播事件的*預設索引*,然後選擇*審核*。

  6. 確認端點的所有設定正確,然後選擇*提交*。

  7. 複製令牌並將其貼上到另一個文件中,以準備進行身份驗證步驟。

使用 NetApp Ransomware Resilience 驗證 Splunk

  1. 在 Ransomware Resilience 中,選取側邊欄中的 Settings

    設定頁面

  2. 在「設定」頁面中,選擇 SIEM 連線圖塊中的「連線」。

    啟用威脅偵測詳細資訊頁面

  3. 選擇 Splunk 作為 SIEM 供應商。

  4. 檢閱 Event collectorToken 區段,確認您擁有正確的資訊。

  5. 展開 Authentication 部分。

    1. 為 HTTP Event Collector 選擇通訊協定。建議使用 HTTPS,但如果 HTTP Event Collector 未啟用 SSL,請選擇 HTTP

    2. 請輸入執行 HTTP Event Collector 的 Splunk Cloud 執行個體的 HostPort。連接埠應與您在 HTTP Event Collector 程序中輸入的連接埠相符。

    3. 輸入您在 Splunk 中建立的事件收集器權杖。

  6. 選擇 Connect 開始傳送 SIEM 資料。

後續步驟