Skip to main content
NetApp Ransomware Resilience
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Anforderungen an die Erkennung von Benutzeraktivitäten für NetApp Ransomware Resilience

Beitragende netapp-ahibbard
Änderungen vorschlagen
PDFs

NetApp Ransomware Resilience Benutzerverhaltenserkennung ermöglicht es Ihnen, auf Ransomware-Ereignisse auf Benutzerebene zu reagieren. Sie müssen eine Gruppe von Agenten erstellen, um die Benutzerverhaltenserkennung zu aktivieren. Bevor Sie die Erkennung aktivieren, müssen Sie sicherstellen, dass Sie die beschriebenen Betriebssystem-, Server- und Netzwerkvoraussetzungen erfüllen, damit Ransomware Resilience Ereignisse korrekt erkennen und melden kann.

Cloud-Anbieter-Support

Verdächtige Benutzeraktivitätsdaten können in AWS und Azure in den folgenden Regionen gespeichert werden:

Cloud-Anbieter Region

AWS

  • Asien-Pazifik (Sydney) (ap-southeast-2)

  • Europa (Frankfurt) (eu-central-1)

  • US Ost (Nord-Virginia) (us-east-1)

Azurblau

Ostküste der USA

Betriebssystemanforderungen

Die Erkennung verdächtigen Benutzerverhaltens wird mit den folgenden Betriebssystemen unterstützt:

Betriebssystem Unterstützte Versionen

AlmaLinux

9.4 (64 Bit) bis 9.5 (64 Bit) und 10 (64 Bit), einschließlich SELinux

CentOS

CentOS Stream 9 (64 Bit)

Debian

11 (64 Bit), 12 (64 Bit), einschließlich SELinux

OpenSUSE Leap

15.3 (64 Bit) bis 15.6 (64 Bit)

Oracle Linux

8.10 (64 Bit) und 9.1 (64 Bit) bis 9.6 (64 Bit), einschließlich SELinux

Red Hat

8.10 (64 Bit), 9.1 (64 Bit) bis 9.6 (64 Bit) und 10 (64 Bit), einschließlich SELinux

Felsig

Rocky 9.4 (64 Bit) bis 9.6 (64 Bit), einschließlich SELinux

SUSE Enterprise Linux

15 SP4 (64 Bit) bis 15 SP6 (64 Bit), einschließlich SELinux

Ubuntu

20.04 LTS (64 Bit), 22.04 LTS (64 Bit) und 24.04 LTS (64 Bit)
Hinweis Auf dem Computer, den Sie für den Benutzeraktivitätsagenten verwenden, sollte keine andere Software auf Anwendungsebene ausgeführt werden. Ein dedizierter Server wird empfohlen.

Der unzip Für die Installation wird ein Befehl benötigt. Der sudo su - Der Befehl wird für die Installation, die Ausführung von Skripten und die Deinstallation benötigt.

Serveranforderungen

Der Server muss die folgenden Mindestanforderungen erfüllen:

  • CPU: 4 Kerne

  • RAM: 16 GB RAM

  • Festplattenspeicher: 36 GB freier Festplattenspeicher

Serverempfehlungen

  • Weisen Sie zusätzlichen Speicherplatz zu, um die Erstellung des Dateisystems zu ermöglichen. Stellen Sie sicher, dass im Dateisystem mindestens 35 GB freier Speicherplatz vorhanden sind. + Wenn /opt Es handelt sich um einen eingebundenen Ordner von einem NAS-Speicher; lokale Benutzer müssen Zugriff auf diesen Ordner haben. Die Erstellung eines Benutzeraktivitätsagenten kann fehlschlagen, wenn lokale Benutzer nicht über die erforderlichen Berechtigungen verfügen.

  • Es wird empfohlen, den Benutzeraktivitätsagenten auf einem separaten System zu installieren, das von Ihrer Ransomware Resilience-Umgebung getrennt ist. Wenn Sie sie dennoch auf demselben Rechner installieren, sollten Sie 50 bis 55 GB Festplattenspeicher einplanen. Für Linux sollten Sie 25–30 GB Speicherplatz für /opt/netapp und 25 GB für var/log/netapp reservieren.

  • Es wird empfohlen, die Zeit sowohl auf dem ONTAP System als auch auf dem Rechner des Benutzeraktivitätsagenten mithilfe des Network Time Protocol (NTP) oder des Simple Network Time Protocol (SNTP) zu synchronisieren.

Cloud-Netzwerkzugriffsregeln

Prüfen Sie die Cloud-Netzwerkzugriffsregeln für Ihre jeweilige Region (Asien-Pazifik, Europa oder Vereinigte Staaten).

Wichtig Ersetzen Sie während der Erstinstallation die <site_name> durch eine Platzhalter-(*-Berechtigung. Nachdem der Agent aktiviert und voll funktionsfähig ist, können Sie die Berechtigung durch den Standortnamen ersetzen. Wenden Sie sich an Ihren NetApp-Ansprechpartner, um den Standortnamen zu erhalten.
Hinweis Der Benutzeraktivitätsagent nutzt NetApp Data Insights Infrastructure-Technologie, daher die Verwendung von cloudinsights Endpunkten. Weitere Informationen finden Sie unter

Bereitstellungen von Benutzeraktivitätsagenten mit Sitz in APAC

Protokoll Hafen Quelle Ziel Beschreibung

HTTPS (TCP)

443

Benutzeraktivitätsagent

  • <site_name>.cs01-ap-1.cloudinsights.netapp.com

  • <site_name>.c01-ap-1.cloudinsights.netapp.com

  • <site_name>.c02-ap-1.cloudinsights.netapp.com

  • gentlogin.cs01-ap-1.cloudinsights.netapp.com

Zugang zu Ransomware-Resilienz

Benutzeraktivitätsagenten-Bereitstellungen mit Sitz in Europa

Protokoll Hafen Quelle Ziel Beschreibung

HTTPS (TCP)

443

Benutzeraktivitätsagent

  • <site_name>.cs01-eu-1.cloudinsights.netapp.com

  • <site_name>.c01-eu-1.cloudinsights.netapp.com

  • <site_name>.c02-eu-1.cloudinsights.netapp.com

  • agentlogin.cs01-eu-1.cloudinsights.netapp.com

Zugang zu Ransomware-Resilienz

US-basierte Bereitstellungen von Benutzeraktivitätsagenten

Protokoll Hafen Quelle Ziel Beschreibung

HTTPS (TCP)

443

Benutzeraktivitätsagent

  • <site_name>.cs01.cloudinsights.netapp.com

  • <site_name>.c01.cloudinsights.netapp.com

  • <site_name>.c02.cloudinsights.netapp.com

  • agentlogin.cs01.cloudinsights.netapp.com

Zugang zu Ransomware-Resilienz

Netzwerkinterne Regeln

Protokoll Hafen Quelle Ziel Beschreibung

TCP

389 (LDAP) 636 (LDAPs / Start-TLS)

Benutzeraktivitätsagent

LDAP-Server-URL

Mit LDAP verbinden

HTTPS (TCP)

443

Benutzeraktivitätsagent

Cluster- oder SVM-Management-IP-Adresse (abhängig von der SVM-Collector-Konfiguration)

API-Kommunikation mit ONTAP

TCP

35000 - 55000

SVM-Daten LIF IP-Adressen

Benutzeraktivitätsagent

Kommunikation von ONTAP an den Benutzeraktivitätsagenten für Fpolicy-Ereignisse. Diese Ports müssen zum Benutzeraktivitätsagenten hin geöffnet werden, damit ONTAP Ereignisse an ihn senden kann, einschließlich etwaiger Firewall-Anforderungen auf dem Benutzeraktivitätsagenten selbst (falls vorhanden). + HINWEIS: Sie müssen nicht alle dieser Ports reservieren, aber die Ports, die Sie hierfür reservieren, müssen innerhalb dieses Bereichs liegen. Es wird empfohlen, mit der Reservierung von 100 Ports zu beginnen und diese bei Bedarf zu erhöhen.

TCP

35000-55000

Cluster-Verwaltungs-IP

Benutzeraktivitätsagent

Kommunikation von der ONTAP Clusterverwaltungs-IP zum Benutzeraktivitätsagenten für EMS-Ereignisse. Diese Ports müssen zum Benutzeraktivitätsagenten hin geöffnet werden, damit ONTAP EMS-Ereignisse an ihn senden kann, einschließlich etwaiger Firewall-Anforderungen auf dem Benutzeraktivitätsagenten selbst. + HINWEIS: Sie müssen nicht alle dieser Ports reservieren, aber die Ports, die Sie hierfür reservieren, müssen innerhalb dieses Bereichs liegen. Es wird empfohlen, mit der Reservierung von 100 Ports zu beginnen und diese bei Bedarf zu erhöhen.

SSH

22

Benutzeraktivitätsagent

Clusterverwaltung

Wird für die CIFS/SMB-Benutzerblockierung benötigt.

Nächster Schritt