task-siem.adoc

sidebar	sidebar
permalink	task-siem.html
keywords	ransomware protection, SIEM, security event management system, soar, playbook, orchestration, event management
summary	Puedes enviar automáticamente datos de NetApp Ransomware Resilience a tu sistema de gestión de seguridad y eventos (SIEM) para análisis y detección de amenazas.

Conecta NetApp Ransomware Resilience a un SIEM para el análisis y detección de amenazas

Un sistema de gestión de eventos e información de seguridad (SIEM) centraliza los datos de registros y eventos para proporcionar información sobre los eventos de seguridad y el cumplimiento. NetApp Ransomware Resilience admite el envío automático de datos a tu SIEM para agilizar el análisis y la detección de amenazas.

Ransomware Resilience es compatible con los siguientes sistemas SIEM:

• AWS Security Hub

• Google SecOps

• Microsoft Sentinel

• Splunk Cloud

• Splunk Enterprise

Tip	Ransomware Resilience también proporciona "libros de jugadas de orquestación, automatización y respuesta (SOAR) de seguridad".

Datos de eventos enviados a un SIEM

Ransomware Resilience puede enviar los siguientes datos de eventos a su sistema SIEM:

• contexto:

  • os: Esta es una constante con el valor de ONTAP.

  • os_version: La versión de ONTAP que se ejecuta en el sistema.

  • connector_id: El ID del agente de consola que administra el sistema.

  • cluster_id: El ID de clúster informado por ONTAP para el sistema.

  • svm_name: El nombre de la SVM donde se encontró la alerta.

  • volume_name: el nombre del volumen en el que se encuentra la alerta.

  • volume_id: El ID del volumen informado por ONTAP para el sistema.

• incidente:

  • incident_id: El ID del incidente generado por Ransomware Resilience para el volumen atacado en Ransomware Resilience.

  • alert_id: El ID generado por Ransomware Resilience para la carga de trabajo.

  • gravedad: la gravedad de los niveles de alerta: "CRÍTICA", "ALTA", "MEDIA", "BAJA".

  • descripción: Detalles sobre la alerta detectada, por ejemplo, "Se detectó un posible ataque de ransomware en la carga de trabajo arp_learning_mode_test_2630".

  • título: El nombre para mostrar de la alerta detectada.

  • criticidad: Evaluación de la criticidad del volumen en tu entorno: "CRÍTICO", "IMPORTANTE", "ESTÁNDAR".

  • estado_incidente: El estado activo del incidente, que puede ser: "NUEVO", "RESUELTO", "DESESTIMADO", "AUTO_RESUELTO".

  • first_detected: Fecha y hora en la que Ransomware Resilience detectó el incidente por primera vez.

  • is_readiness_drill: valor booleano que indica si la alerta es un simulacro o un incidente real.

  • protocolo: El protocolo utilizado por el volumen. Los valores posibles son "iSCSI", "NFS" y "SMB".

  • tipo_alerta: El tipo de amenaza detectada. Los valores posibles son "Cifrado", "Destrucción de datos", "Violación de datos" y "Comportamiento sospechoso del usuario".

  • nombre_usuario: el nombre de usuario del usuario sospechoso asociado a la alerta.

  • user_id: El ID de usuario del usuario sospechoso asociado a la alerta.

  • client_ips: Una lista de direcciones IP de cliente asociadas con la actividad sospechosa, aplicable solo para alertas NFS.

Note	Los campos user_name y user_id solo son pertinentes si has configurado detección del comportamiento del usuario.

Configurar AWS Security Hub para la detección de amenazas

Antes de habilitar AWS Security Hub en Ransomware Resilience, tienes que realizar los siguientes pasos a grandes rasgos en AWS Security Hub:

• Configurar permisos en AWS Security Hub.

• Configure la clave de acceso de autenticación y la clave secreta en AWS Security Hub. (Estos pasos no se proporcionan aquí.)

Pasos para configurar permisos en AWS Security Hub

1. Vaya a la consola AWS IAM.

2. Seleccione Políticas.

3. Cree una política utilizando el siguiente código en formato JSON:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "NetAppSecurityHubFindings",
         "Effect": "Allow",
         "Action": [
           "securityhub:BatchImportFindings",
           "securityhub:BatchUpdateFindings"
         ],
         "Resource": [
           "arn:aws:securityhub:*:*:product/*/default",
           "arn:aws:securityhub:*:*:hub/default"
         ]
       }
     ]
   }

Autentica AWS Security Hub en NetApp Ransomware Resilience

1. En Ransomware Resilience, selecciona Configuración en la barra lateral.

   

2. En la página Configuración, seleccione Conectar en el mosaico de conexión SIEM.

   

3. Elige AWS Security Hub como proveedor SIEM.

4. Revisa las secciones Permisos.

5. Expande la sección Autenticación.

   1. Introduce la Cuenta de AWS y selecciona la Región AWS de la cuenta.

   2. Ingresa la clave de acceso y la clave secreta de AWS Security Hub.

6. Selecciona Conectar para comenzar a enviar datos SIEM.

Configura Google SecOps para la detección de amenazas

Antes de habilitar Google SecOps en Ransomware Resilience, necesitas registrar el tipo de registro y el webhook en Google SecOps para habilitar la conexión entre servicios.

Crear un tipo de registro

1. Ve a Google SecOps.

2. Ve a Configuración > Configuración SIEM > Tipos de registro disponibles.

   Se recomienda que uses el tipo de registro NETAPP_RANSOMWARE_RESILIENCE. Si no quieres usarlo, crea un tipo de registro personalizado.

3. Si usas el tipo de registro NETAPP_RANSOMWARE_RESILIENCE, incluye un analizador precompilado y no es necesario hacer nada más.

   Si usas un tipo de registro personalizado, debes crear un parser. Ve a SIEM Settings > Parsers > Create Parser para crear el parser.

Registrar el webhook

1. Navega a Google SecOps.

2. Ve a Configuración > Configuración SIEM > Feeds.

3. Selecciona Add new feed.

4. Selecciona el tipo de registro que usaste en el flujo de trabajo Crear un tipo de registro.

5. Establece el Tipo de fuente en Webhook y guarda el feed.

6. Abre la pestaña Details. Copia la Webhook endpoint URL para usarla cuando te autentiques en Ransomware Resilience.

7. Abre la pestaña Clave secreta. Genera la clave secreta o cópiala si ya has creado una. Guarda la clave para usarla cuando te autentiques en Ransomware Resilience.

8. Crea una clave API usando el proceso de clave API de Google de tu organización.

Autentica Google SecOps en Ransomware Resilience

1. En Ransomware Resilience, selecciona Configuración en la barra lateral.

   

2. En la página Configuración, seleccione Conectar en el mosaico de conexión SIEM.

   

3. Elige Google SecOps como proveedor SIEM.

4. Revisa las secciones Requisitos y Webhook feed.

5. Expande la sección Autenticación.

   1. Ingresa la Webhook URL que copiaste de Google SecOps webhook endpoint URL.

   2. Introduce la clave secreta y la clave API de Google SecOps.

6. Selecciona Conectar para comenzar a enviar datos SIEM.

Configurar Microsoft Sentinel para la detección de amenazas

Antes de activar Microsoft Sentinel en Ransomware Resilience, tienes que realizar los siguientes pasos a grandes rasgos en Microsoft Sentinel:

• Prerrequisitos

  • Habilitar Microsoft Sentinel.

  • Crear un rol personalizado en Microsoft Sentinel.

• Registro

  • Registre Ransomware Resilience para recibir eventos de Microsoft Sentinel.

  • Crear un secreto para el registro.

• Permisos: Asigna permisos a la aplicación.

• Autenticación: Ingrese las credenciales de autenticación para la aplicación.

Activar Microsoft Sentinel

1. Vaya a Microsoft Sentinel.

2. Cree un espacio de trabajo de Log Analytics.

3. Habilite Microsoft Sentinel para utilizar el espacio de trabajo de Log Analytics que acaba de crear.

Crear una función personalizada en Microsoft Sentinel

1. Vaya a Microsoft Sentinel.

2. Seleccione Suscripción > Control de acceso (IAM).

3. Introduzca un nombre de rol personalizado. Utilice el nombre Ransomware Resilience Sentinel Configurator.

4. Copie el siguiente JSON y péguelo en la pestaña JSON.

   {
     "roleName": "Ransomware Resilience Sentinel Configurator",
     "description": "",
     "assignableScopes":["/subscriptions/{subscription_id}"],
     "permissions": [
   
     ]
   }

5. Revise y guarde su configuración.

Autentica Ransomware Resilience para recibir eventos de Microsoft Sentinel

1. Vaya a Microsoft Sentinel.

2. Seleccione ID de entrada > Aplicaciones > Registros de aplicaciones.

3. Para el Nombre para mostrar de la aplicación, ingrese "Ransomware Resilience".

4. En el campo Tipo de cuenta compatible, seleccione Solo cuentas en este directorio organizacional.

5. Seleccione un Índice predeterminado donde se enviarán los eventos.

6. Seleccione Revisar.

7. Seleccione Registrarse para guardar su configuración.

   Después del registro, el centro de administración de Microsoft Entra muestra el panel Descripción general de la aplicación.

Crear un secreto para el registro

1. Vaya a Microsoft Sentinel.

2. Seleccione Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente.

3. Agregue una descripción para el secreto de su aplicación.

4. Seleccione una Expiración para el secreto o especifique un período de vida personalizado.

   Tip	La vida útil del secreto de un cliente está limitada a dos años (24 meses) o menos. Microsoft recomienda que establezca un valor de expiración inferior a 12 meses.

5. Seleccione Agregar para crear su secreto.

6. Registre el secreto que se utilizará en el paso de Autenticación. El secreto nunca volverá a mostrarse después de salir de esta página.

Asignar permisos

1. Vaya a Microsoft Sentinel.

2. Seleccione Suscripción > Control de acceso (IAM).

3. Seleccione Agregar > Agregar asignación de rol.

4. Para el campo Roles de administrador privilegiado, seleccione Configurador de Ransomware Resilience Sentinel.

   Tip	Éste es el rol personalizado que creaste anteriormente.

5. Seleccione Siguiente.

6. En el campo Asignar acceso a, seleccione Usuario, grupo o entidad de servicio.

7. Seleccione Seleccionar miembros. Luego, seleccione Ransomware Resilience Sentinel Configurator.

8. Seleccione Siguiente.

9. En el campo Qué puede hacer el usuario, seleccione Permitir al usuario asignar todos los roles excepto los roles de administrador privilegiado Propietario, UAA, RBAC (recomendado).

10. Seleccione Siguiente.

11. Seleccione Revisar y asignar para asignar los permisos.

Introduce credenciales de autenticación

1. Vaya a Microsoft Sentinel.

2. Introduzca las credenciales:

   1. Ingrese el ID del inquilino, el ID de la aplicación del cliente y el secreto de la aplicación del cliente.

   2. Selecciona Autenticar.

      Note	Una vez que la autenticación es exitosa, aparece un mensaje de "Autenticado".

3. Ingrese los detalles del espacio de trabajo de Log Analytics para la aplicación.

   1. Seleccione el ID de suscripción, el grupo de recursos y el espacio de trabajo de Log Analytics.

Autentica Microsoft Sentinel en NetApp Ransomware Resilience

1. En Ransomware Resilience, selecciona Configuración en la barra lateral.

   

2. En la página Configuración, seleccione Conectar en el mosaico de conexión SIEM.

   

3. Elige Microsoft Sentinel como proveedor SIEM.

4. Revisa las secciones Requisitos previos, Inscripción y Permisos para asegurarte de que has completado correctamente cada paso.

5. Expande la sección Autenticación.

   1. Introduce el Directory (tenant) ID, el Application (tenant) ID y el Client secret. Selecciona Authenticate y espera hasta que la interfaz de usuario confirme que se han autenticado las credenciales.

   2. En los menús desplegables, elige el ID de suscripción, el grupo de recursos y el espacio de trabajo de análisis de registros al que quieres enviar los datos SIEM.

6. Selecciona Conectar para comenzar a enviar datos SIEM.

Configurar Splunk Cloud y Splunk Enterprise para la detección de amenazas

Ransomware Resilience es compatible con la detección de amenazas con Splunk Cloud y Splunk Enterprise. Antes de habilitar la conexión de Splunk en Ransomware Resilience, necesitas:

• Habilita un recopilador de eventos HTTP en Splunk Cloud o Enterprise para recibir datos de eventos a través de HTTP o HTTPS desde la consola.

• Crea un token de recopilador de eventos en Splunk Cloud o Enterprise.

Note	Para Splunk Enterprise, debes permitir el tráfico entrante de Internet público para que Ransomware Resilience pueda enviar eventos utilizando los detalles del recopilador de eventos HTTP que se le suministran.

Habilita un recolector de eventos HTTP en Splunk

1. Ve a tu entorno Splunk elegido: Cloud o Enterprise.

2. Seleccione Configuración > Entradas de datos.

3. Seleccione Recopilador de eventos HTTP > Configuración global.

4. En el interruptor Todos los tokens, seleccione Habilitado.

5. Para que el Recopilador de eventos escuche y se comunique a través de HTTPS en lugar de HTTP, seleccione Habilitar SSL.

6. Introduce un puerto en HTTP Port Number para el HTTP Event Collector. Guarda el número de puerto para el proceso de autenticación.

Crear un token de Event Collector en Splunk

1. Ve a Splunk Cloud o Enterprise.

2. Seleccione Configuración > Agregar datos.

3. Seleccione Monitor > Recopilador de eventos HTTP.

4. Ingrese un nombre para el token y seleccione Siguiente.

5. Seleccione un Índice predeterminado donde se enviarán los eventos y luego seleccione Revisar.

6. Confirme que todas las configuraciones del punto final sean correctas y luego seleccione Enviar.

7. Copie el token y péguelo en otro documento para tenerlo listo para el paso de autenticación.

Autentica Splunk con Ransomware Resilience

1. En Ransomware Resilience, selecciona Configuración en la barra lateral.

   

2. En la página Configuración, seleccione Conectar en el mosaico de conexión SIEM.

   

3. Elige Splunk como proveedor SIEM.

4. Revisa las secciones Colector de eventos y Token para confirmar que tienes la información correcta.

5. Expande la sección Autenticación.

   1. Selecciona el Protocolo para el HTTP Event Collector. Se recomienda que uses HTTPS, pero si SSL no está habilitado para el HTTP Event Collector, selecciona HTTP.

   2. Introduce el Host y el Port de la instancia de Splunk Cloud que ejecuta el HTTP Event Collector. El puerto debe coincidir con el que introdujiste en el proceso del HTTP Event Collector.

   3. Ingresa el token del recopilador de eventos que creaste en Splunk.

6. Selecciona Conectar para comenzar a enviar datos SIEM.

Próximos pasos

• "Integra un playbook SOAR"