Skip to main content
NetApp Ransomware Resilience
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Anforderungen an die Erkennung von Benutzeraktivitäten für NetApp Ransomware Resilience

Beitragende netapp-ahibbard
Änderungen vorschlagen
PDFs

NetApp Ransomware Resilience Benutzerverhaltenserkennung ermöglicht es Ihnen, auf Ransomware-Ereignisse auf Benutzerebene zu reagieren. Sie müssen eine Gruppe von Agenten erstellen, um die Benutzerverhaltenserkennung zu aktivieren. Bevor Sie die Erkennung aktivieren, müssen Sie sicherstellen, dass Sie die beschriebenen Betriebssystem-, Server- und Netzwerkvoraussetzungen erfüllen, damit Ransomware Resilience Ereignisse korrekt erkennen und melden kann.

Die Erkennung des Benutzerverhaltens wird in Ransomware Resilience für Workloads in On-Premises ONTAP-Systemen sowie in Amazon FsxN für NetApp ONTAP und Cloud Volumes ONTAP-Systeme unterstützt, die mit Cloud-Anbieter-Support übereinstimmen.

Cloud-Anbieter-Support

Nutzerverhaltensdaten können in AWS und Azure in den folgenden Regionen gespeichert werden:

Cloud-Anbieter Region

AWS

  • Asien-Pazifik (Sydney) (ap-southeast-2)

  • Europa (Frankfurt) (eu-central-1)

  • US Ost (Nord-Virginia) (us-east-1)

Azurblau

Ostküste der USA

Betriebssystemanforderungen

Die Erkennung verdächtigen Benutzerverhaltens wird mit den folgenden Betriebssystemen unterstützt:

Betriebssystem Unterstützte Versionen

AlmaLinux

9.4 (64 Bit) bis 9.5 (64 Bit) und 10 (64 Bit), einschließlich SELinux

CentOS

CentOS Stream 9 (64 Bit)

Debian

11 (64 Bit), 12 (64 Bit), einschließlich SELinux

OpenSUSE Leap

15.3 (64 Bit) bis 15.6 (64 Bit)

Oracle Linux

8.10 (64 Bit) und 9.1 (64 Bit) bis 9.6 (64 Bit), einschließlich SELinux

Red Hat

8.10 (64 Bit), 9.1 (64 Bit) bis 9.6 (64 Bit) und 10 (64 Bit), einschließlich SELinux

Felsig

Rocky 9.4 (64 Bit) bis 9.6 (64 Bit), einschließlich SELinux

SUSE Enterprise Linux

15 SP4 (64 Bit) bis 15 SP6 (64 Bit), einschließlich SELinux

Ubuntu

20.04 LTS (64 Bit), 22.04 LTS (64 Bit) und 24.04 LTS (64 Bit)
Hinweis Auf dem Computer, den Sie für den Benutzeraktivitätsagenten verwenden, sollte keine andere Software auf Anwendungsebene ausgeführt werden. Ein dedizierter Server wird empfohlen.

Der unzip Für die Installation wird ein Befehl benötigt. Der sudo su - Der Befehl wird für die Installation, die Ausführung von Skripten und die Deinstallation benötigt.

Serveranforderungen

Der Server muss die folgenden Mindestanforderungen erfüllen:

  • CPU: 4 Kerne

  • RAM: 16 GB RAM

  • Festplattenspeicher: 36 GB freier Festplattenspeicher

Serverempfehlungen

  • Weisen Sie zusätzlichen Speicherplatz zu, um die Erstellung des Dateisystems zu ermöglichen. Stellen Sie sicher, dass im Dateisystem mindestens 35 GB freier Speicherplatz vorhanden sind. + Wenn /opt Es handelt sich um einen eingebundenen Ordner von einem NAS-Speicher; lokale Benutzer müssen Zugriff auf diesen Ordner haben. Die Erstellung eines Benutzeraktivitätsagenten kann fehlschlagen, wenn lokale Benutzer nicht über die erforderlichen Berechtigungen verfügen.

  • Es wird empfohlen, den Benutzeraktivitätsagenten auf einem separaten System zu installieren, das von Ihrer Ransomware Resilience-Umgebung getrennt ist. Wenn Sie sie dennoch auf demselben Rechner installieren, sollten Sie 50 bis 55 GB Festplattenspeicher einplanen. Für Linux sollten Sie 25–30 GB Speicherplatz für /opt/netapp und 25 GB für var/log/netapp reservieren.

  • Es wird empfohlen, die Zeit sowohl auf dem ONTAP System als auch auf dem Rechner des Benutzeraktivitätsagenten mithilfe des Network Time Protocol (NTP) oder des Simple Network Time Protocol (SNTP) zu synchronisieren.

Größenempfehlungen

Stellen Sie beim Erfassen von Benutzerereignissen sicher, dass der Rechner, auf dem der Benutzeraktivitätsagent ausgeführt wird, ausreichend dimensioniert ist, um Ihre Ereignisrate zu bewältigen. Das bedeutet, dass Sie über genügend Datensammler sowie ausreichend CPU und RAM auf dem Rechner verfügen müssen, auf dem der Benutzeraktivitätsagent ausgeführt wird, um die Anzahl der Ereignisse pro Sekunde zu tolerieren. Um die Anzahl der Datensammler zu erhöhen, müssen Sie möglicherweise die RAM- oder CPU-Kapazität erhöhen. Ransomware Resilience unterstützt bis zu 50 Datensammler pro Benutzeraktivitätsagent.

Die folgende Tabelle bietet allgemeine Richtlinien zur Größenbestimmung:

Konfiguration des Benutzeraktivitätsagenten-Rechners Anzahl der Datensammler Maximale Ereignisrate

4 Kerne, 16GB

10 Datensammler

20.000 Ereignisse/Sekunde

4 Kerne, 32GB

20 Datensammler

20.000 Ereignisse/Sekunde

Sie können auch Ihre spezifischen Anforderungen berechnen. Bei der Berechnung der passenden Größe empfiehlt es sich, eine Pufferrate von 30 % einzuplanen. Verwenden Sie diese Formel, um festzustellen, ob Ihre Konfiguration die Last bewältigen kann.

Where E is the sum of all events per second across all data collectors:

E + (0.3 x E) < 20,000 events/second
Ransomware Resilience stellt ein Skript zur Berechnung der Ereignisdatenrate bereit. Erfahren Sie, wie Sie die Ereignisdatenrate in Ransomware Resilience berechnen.

Ransomware Resilience stellt ein Skript bereit, mit dem Sie die Ereignisdatenrate auf Ihrem System berechnen können. Standardmäßig wird das Skript für maximal fünf Storage-VMs ausgeführt. Wenn Ihre Umgebung mehr als 5 SVMs umfasst, können Sie das Skript entsprechend anpassen. Unabhängig von der Anzahl der SVMs benötigt das Skript etwa fünf Minuten, um einen durchschnittlichen Wert für die Ereignisrate zu ermitteln. Bevor Sie das Skript ausführen, müssen Sie Folgendes haben:

  • "Einen Benutzeraktivitätsagenten konfiguriert"

  • Die Cluster-IP-Adresse

  • Benutzername und Passwort des Cluster-Administrators

  • Installiert sshpass auf dem Linux-Rechner (Sie können mit dem Befehl sudo yum install -y sshpass installieren)

Schritte

  1. Führen Sie das Skript auf dem Cluster, auf dem der Benutzeraktivitätsagent gehostet wird, als Administrator aus: /opt/netapp/cloudsecure/agent/install/svm_event_rate_checker.sh

  2. Geben Sie bei Aufforderung die Cluster-IP-Adresse, den Admin-Benutzernamen und das Admin-Passwort an.

  3. Das Skript benötigt etwa fünf Minuten zur Ausführung. Nach Abschluss zeigt die Befehlszeile die Ereignisrate an, beispielsweise „Svm svm_rate generiert 100 Ereignisse/Sek.“

    Nutzen Sie die Ereignisrate, um Ihre Dimensionierung zu berechnen.

Cloud-Netzwerkzugriffsregeln

Prüfen Sie die Cloud-Netzwerkzugriffsregeln für Ihre jeweilige Region (Asien-Pazifik, Europa oder Vereinigte Staaten).

Wichtig Ersetzen Sie während der Erstinstallation die <site_name> durch eine Platzhalter-(*-Berechtigung. Nachdem der Agent aktiviert und voll funktionsfähig ist, können Sie die Berechtigung durch den Standortnamen ersetzen. Wenden Sie sich an Ihren NetApp-Ansprechpartner, um den Standortnamen zu erhalten.
Hinweis Der Benutzeraktivitätsagent nutzt NetApp Data Insights Infrastructure-Technologie, daher die Verwendung von cloudinsights Endpunkten. Weitere Informationen finden Sie unter

Bereitstellungen von Benutzeraktivitätsagenten mit Sitz in APAC

Protokoll Hafen Quelle Ziel Beschreibung

HTTPS (TCP)

443

Benutzeraktivitätsagent

  • <site_name>.cs01-ap-1.cloudinsights.netapp.com

  • <site_name>.c01-ap-1.cloudinsights.netapp.com

  • <site_name>.c02-ap-1.cloudinsights.netapp.com

  • gentlogin.cs01-ap-1.cloudinsights.netapp.com

Zugang zu Ransomware-Resilienz

Benutzeraktivitätsagenten-Bereitstellungen mit Sitz in Europa

Protokoll Hafen Quelle Ziel Beschreibung

HTTPS (TCP)

443

Benutzeraktivitätsagent

  • <site_name>.cs01-eu-1.cloudinsights.netapp.com

  • <site_name>.c01-eu-1.cloudinsights.netapp.com

  • <site_name>.c02-eu-1.cloudinsights.netapp.com

  • agentlogin.cs01-eu-1.cloudinsights.netapp.com

Zugang zu Ransomware-Resilienz

US-basierte Bereitstellungen von Benutzeraktivitätsagenten

Protokoll Hafen Quelle Ziel Beschreibung

HTTPS (TCP)

443

Benutzeraktivitätsagent

  • <site_name>.cs01.cloudinsights.netapp.com

  • <site_name>.c01.cloudinsights.netapp.com

  • <site_name>.c02.cloudinsights.netapp.com

  • agentlogin.cs01.cloudinsights.netapp.com

Zugang zu Ransomware-Resilienz

Netzwerkinterne Regeln

Protokoll Hafen Quelle Ziel Beschreibung

TCP

389 (LDAP) 636 (LDAPs / Start-TLS)

Benutzeraktivitätsagent

LDAP-Server-URL

Mit LDAP verbinden

HTTPS (TCP)

443

Benutzeraktivitätsagent

Cluster- oder SVM-Management-IP-Adresse (abhängig von der SVM-Collector-Konfiguration)

API-Kommunikation mit ONTAP

TCP

35000 - 55000

SVM-Daten LIF IP-Adressen

Benutzeraktivitätsagent

Kommunikation von ONTAP an den Benutzeraktivitätsagenten für Fpolicy-Ereignisse. Diese Ports müssen zum Benutzeraktivitätsagenten hin geöffnet werden, damit ONTAP Ereignisse an ihn senden kann, einschließlich etwaiger Firewall-Anforderungen auf dem Benutzeraktivitätsagenten selbst (falls vorhanden). + HINWEIS: Sie müssen nicht alle dieser Ports reservieren, aber die Ports, die Sie hierfür reservieren, müssen innerhalb dieses Bereichs liegen. Es wird empfohlen, mit der Reservierung von 100 Ports zu beginnen und diese bei Bedarf zu erhöhen.

TCP

35000-55000

Cluster-Verwaltungs-IP

Benutzeraktivitätsagent

Kommunikation von der ONTAP Clusterverwaltungs-IP zum Benutzeraktivitätsagenten für EMS-Ereignisse. Diese Ports müssen zum Benutzeraktivitätsagenten hin geöffnet werden, damit ONTAP EMS-Ereignisse an ihn senden kann, einschließlich etwaiger Firewall-Anforderungen auf dem Benutzeraktivitätsagenten selbst. + HINWEIS: Sie müssen nicht alle dieser Ports reservieren, aber die Ports, die Sie hierfür reservieren, müssen innerhalb dieses Bereichs liegen. Es wird empfohlen, mit der Reservierung von 100 Ports zu beginnen und diese bei Bedarf zu erhöhen.

SSH

22

Benutzeraktivitätsagent

Clusterverwaltung

Wird für die CIFS/SMB-Benutzerblockierung benötigt.

Nächster Schritt