配置 IBM Cloud Pak® for Security 以获得实时勒索软件威胁警报

IBM Storage Insights 为您的存储环境提供无与伦比的可见性,以管理复杂的存储基础架构并做出节约成本的决策。 它将久经考验的IBM数据管理领导能力与IBM研究院的专有分析技术相结合。 作为基于云的服务,它使您能够快速部署并节省存储管理时间,同时优化存储。 它还会自动执行支持流程,以便更快地解决问题。 它支持设置触发警报的条件以及触发警报时要执行的操作,例如将这些警报通知到电子邮件地址。

关于此任务

IBM Cloud Pak® for Security (CP4S)提供了一个平台,可快速集成安全工具并深入洞察混合多云环境中的威胁。

IBM Cloud Pak for Security 中的威胁管理功能可提供强大、开放、全流程的可视性、检测、调查和响应。 此平台还提供安全性,编排,自动化和响应 (SOAR)。

SOAR 帮助组织自动执行和编排事件响应工作流程,并帮助确保组织的特定流程一致,优化且可度量。

勒索软件威胁可能包括发现的异常,例如存储系统,池和驱动器上的压缩率突然更改。 连续元数据收集之间的比率显着下降 (30 %-50%)。 勒索软件威胁可以包括通过系统上的恶意软件行为 (如勒索软件) 发现的异常。

IBM Storage Insights 根据勒索软件威胁事件向特定电子邮件地址发送电子邮件警报。 此外, IBM Cloud Pak® for Security 可检测到这些警报并自动启动响应。

步骤

  1. IBM Storage Insights

    默认情况下,固件版本为 8.6.0.0 或更高版本的所有 IBM Storage Virtualize 系统都启用了勒索软件威胁检测警报。 您可以对特定存储系统启用或禁用警报。

    1. 登录 IBM Storage Insights。 转到 Resources > Block Storage Systems 。 选择必须为其启用勒索软件威胁检测警报的存储系统。
    2. 右键单击所选存储系统,然后选择 勒索软件威胁检测。 切换 检测 图标以启用勒索软件威胁检测。
      如果需要,请在 电子邮件覆盖 框中输入特定电子邮件地址,以单独接收警报,从而覆盖全局通知设置。
    3. 单击 保存更改
  2. IBM Cloud Pak for Security (CP4S) 配置
    1. IBM Cloud Pak for Security 配置需要 IMAP 服务器或用户名和密码。
    2. 电子邮件服务器配置被添加到 IBM Cloud Pak for Security 配置中。 IBM IBM Cloud Pak for Security 上的案例管理应用程序会从电子邮件服务器检索电子邮件详细信息,并生成案例或安全事件。
    3. 确保您拥有 IBM Cloud Pak for Security 上的管理员权限,以便更改配置。
    4. Cloud Pak for Security 页面上,转至 应用程序设置 > Case Management > 许可权和访问权
    5. 单击 组织 选项卡以配置 "入站电子邮件连接"。
    6. 选择 IMAP 选项并提供图中显示的详细信息。 输入相关信息,例如 IMAP 链接,电子邮件地址和密码。
    7. 了解有关 创建连接的更多信息。
  3. IBM Storage Insights 中触发勒索软件威胁警报,并发送电子邮件警报
    1. IBM Storage Insights 在触发勒索软件威胁警报时发送电子邮件警报。
    2. 另外,警报显示在 仪表板 > 警报 GUI 中的 IBM Storage Insights 处。

      勒索软件警报详细信息页面

  4. IBM Cloud Pak for Security 读取警报
    1. 收件箱收到勒索软件威胁警报时,IBM Cloud Pak for Security 会读取此电子邮件警报。
    2. IBM Cloud Pak for Security 可以针对此警报采取后续操作。 例如,它可以在 IBM Cloud Pak for Security 的案例管理应用程序中触发一个案例。