Skip to main content
NetApp Ransomware Resilience
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren von Agenten und Collectoren zur Erkennung von Benutzeraktivitäten in NetApp Ransomware Resilience

Beitragende netapp-ahibbard
Änderungen vorschlagen
PDFs

NetApp Ransomware Resilience Benutzeraktivitätserkennung hilft Ihnen, Ransomware-Ereignisse auf Benutzerebene zu verhindern. Um die Erkennung verdächtigen Benutzerverhaltens in Ransomware Resilience zu aktivieren, müssen Sie mindestens einen Benutzeraktivitätsagenten installieren, der eine Datenerfassungsumgebung erstellt, um das Benutzerverhalten auf abweichende Muster zu überwachen, die Ransomware-Ereignissen ähneln.

Ein Benutzeraktivitätsagent hostet einen Datensammler und einen Benutzerverzeichnis-Connector, die beide Daten zur Analyse an einen SaaS-Standort senden.

  • Der Datensammler erfasst Benutzeraktivitätsdaten von ONTAP. Der Datensammler wird automatisch erstellt, wenn Sie eine Schutzstrategie mit Benutzerverhaltenserkennung erstellen.

  • Der Benutzerverzeichnis-Connector stellt eine Verbindung zu Ihrem Verzeichnis her, um Benutzer-IDs Benutzernamen zuzuordnen. Sie müssen den Benutzerverzeichnis-Connector konfigurieren.

Der Benutzeraktivitätsagent, der Datensammler und der Benutzerverzeichnis-Connector können alle über das Dashboard der Ransomware Resilience-Einstellungen verwaltet werden.

Hinweis Wenn Sie bereits NetApp Data Infrastructure Insights (DII) Workload Security verwenden, wird empfohlen, dieselben Workload Security Agents auch für Ransomware Resilience zu verwenden. Sie müssen keine separaten Workload Security Agents für Ransomware Resilience bereitstellen, jedoch erfordert die Verwendung derselben Workload Security Agents eine Kopplung zwischen der Ransomware Resilience Console Organization und dem DII Storage Workload Security Tenant. Wenden Sie sich an Ihren Account Representative, um diese Kopplung zu aktivieren.

+ Falls Sie nicht DII verwenden, fahren Sie mit den Konfigurationsanweisungen hier fort.

Bevor Sie beginnen

Erforderliche Konsolenrolle Um die Erkennung verdächtiger Benutzeraktivitäten zu aktivieren, benötigen Sie die Organization admin role. Für nachfolgende Konfigurationen verdächtiger Benutzeraktivitäten benötigen Sie die Ransomware Resilience user behavior admin role. "Erfahren Sie mehr über Ransomware Resilience-Rollen für die NetApp Console".

Stellen Sie sicher, dass jede Rolle auf Organisationsebene angewendet wird.

Erstellen Sie einen Benutzeraktivitätsagenten

Benutzeraktivitätsagenten sind ausführbare Umgebungen für "Datensammler"; Datensammler teilen Benutzeraktivitätsereignisse mit Ransomware Resilience. Sie müssen mindestens einen Benutzeraktivitätsagenten erstellen, um die Erkennung verdächtiger Benutzeraktivitäten zu aktivieren.

Schritte

  1. Wenn Sie zum ersten Mal einen Benutzeraktivitätsagenten erstellen, gehen Sie zum Dashboard. Wählen Sie in der Kachel Benutzeraktivität die Option Aktivieren aus.

    Wenn Sie einen zusätzlichen Benutzeraktivitätsagenten hinzufügen, gehen Sie zu Einstellungen, suchen Sie die Kachel Benutzeraktivität und wählen Sie dann Verwalten. Wählen Sie auf dem Bildschirm „Benutzeraktivität“ die Registerkarte Benutzeraktivitätsagenten und dann Hinzufügen.

  2. Wählen Sie einen Cloud-Anbieter und dann eine Region aus. Wählen Sie Weiter.

  3. Geben Sie die Details des Benutzeraktivitätsagenten an:

    • Name des Benutzeraktivitätsagenten

    • Konsolenagent - Der Konsolenagent sollte sich im selben Netzwerk wie der Benutzeraktivitätsagent befinden und über eine SSH-Verbindung zur IP-Adresse des Benutzeraktivitätsagenten verfügen.

    • VM-DNS-Name oder IP-Adresse

    • VM SSH Key - Geben Sie den SSH-Schlüssel in diesem Format ein:

      -----BEGIN OPENSSH PRIVATE KEY-----
private-key-contents
-----END OPENSSH PRIVATE KEY-----

      Screenshot der Benutzeroberfläche des Aktivitätsagenten hinzufügen.

  4. Wählen Sie Weiter.

  5. Überprüfen Sie Ihre Einstellungen. Wählen Sie Aktivieren, um das Hinzufügen des Benutzeraktivitätsagenten abzuschließen.

  6. Bestätigen Sie, dass der Benutzeraktivitätsagent erfolgreich erstellt wurde. In der Kachel „Benutzeraktivität“ wird eine erfolgreiche Bereitstellung als Wird ausgeführt angezeigt.

Ergebnis

Nachdem der Benutzeraktivitätsagent erfolgreich erstellt wurde, kehren Sie zum Menü Einstellungen zurück und wählen Sie dann Verwalten im Bereich Benutzeraktivität. Wählen Sie den Tab Benutzeraktivitätsagenten und dann den Benutzeraktivitätsagenten aus, um Details dazu anzuzeigen, einschließlich Datensammler und Benutzerverzeichnis-Konnektoren.

Hinzufügen eines Datensammlers

Datensammler werden automatisch erstellt, wenn Sie eine Ransomware-Schutzstrategie mit Erkennung verdächtiger Benutzeraktivitäten aktivieren. Weitere Informationen finden Sie unter "Hinzufügen einer Erkennungsrichtlinie".

Sie können die Details des Datensammlers anzeigen. Wählen Sie in den Einstellungen in der Kachel „Benutzeraktivität“ die Option Verwalten aus. Wählen Sie die Registerkarte Datensammler und dann den Datensammler aus, um seine Details anzuzeigen oder ihn anzuhalten.

Screenshot der Benutzeraktivitätseinstellungen.

Erstellen Sie einen Benutzerverzeichnis-Connector

Um Benutzer-IDs Benutzernamen zuzuordnen, müssen Sie einen Benutzerverzeichnis-Connector erstellen.

Schritte

  1. Gehen Sie in Ransomware Resilience zu Einstellungen.

  2. Wählen Sie in der Kachel „Benutzeraktivität“ Verwalten aus.

  3. Wählen Sie die Registerkarte Benutzerverzeichnis-Konnektoren und dann Hinzufügen.

  4. Konfigurieren Sie die Verbindung. Geben Sie die erforderlichen Informationen für jedes Feld ein.

    Feld Beschreibung

    Name

    Geben Sie einen eindeutigen Namen für den Benutzerverzeichnis-Connector ein.

    Benutzerverzeichnistyp

    Der Verzeichnistyp

    Server-IP-Adresse oder Domänenname

    Die IP-Adresse oder der vollqualifizierte Domänenname (FQDN) des Servers, der die Verbindung hostet

    Waldname oder Suchname

    Sie können die Gesamtstrukturebene der Verzeichnisstruktur als direkten Domänennamen angeben (zum Beispiel unit.company.com) oder eine Reihe relativer, angesehener Namen (zum Beispiel: DC=unit,DC=company,DC=com). Sie können auch einen Eintrag eingeben OU um nach einer Organisationseinheit oder einem CN auf einen bestimmten Benutzer beschränken (zum Beispiel: CN=user,OU=engineering,DC=unit,DC=company,DC=com).

    BIND DN

    Der BIND DN ist ein Benutzerkonto, das berechtigt ist, das Verzeichnis zu durchsuchen, z. B. user@domain.com. Der Benutzer benötigt die Berechtigung „Domänenlesbar“.

    BIND-Passwort

    Das Passwort für den in BIND DN angegebenen Benutzer.

    Protokoll

    Das Feld „Protokoll“ ist optional. Sie können LDAP, LDAPS oder LDAP over StartTLS verwenden.

    Hafen

    Geben Sie die von Ihnen gewählte Portnummer ein.

    Screenshot der Benutzerverzeichnisverbindung

    Geben Sie die Details zur Attributzuordnung an:

    • Anzeigename

    • SID (wenn Sie LDAP verwenden)

    • Benutzername

    • Unix-ID (wenn Sie NFS verwenden)

    • Wenn Sie Optionale Attribute einbeziehen auswählen, können Sie auch eine E-Mail-Adresse, eine Telefonnummer, eine Rolle, ein Bundesland, ein Land, eine Abteilung, ein Foto, den Vorgesetzten-DN oder Gruppen hinzufügen. Wählen Sie Erweitert, um eine optionale Suchanfrage hinzuzufügen.

  5. Wählen Sie Hinzufügen.

  6. Kehren Sie zur Registerkarte „Benutzerverzeichnis-Konnektoren“ zurück, um den Status Ihres Benutzerverzeichnis-Konnektors zu überprüfen. Bei erfolgreicher Erstellung wird der Status des Benutzerverzeichnis-Connectors als Wird ausgeführt angezeigt.

Löschen eines Benutzerverzeichnis-Connectors

Schritte

  1. Gehen Sie in Ransomware Resilience zu Einstellungen.

  2. Suchen Sie die Kachel „Benutzeraktivität“ und wählen Sie Verwalten aus.

  3. Wählen Sie die Registerkarte Benutzerverzeichnis-Connector.

  4. Identifizieren Sie den Benutzerverzeichnis-Connector, den Sie löschen möchten. Wählen Sie im Aktionsmenü am Ende der Zeile die drei Punkte aus …​ dann Löschen.

  5. Wählen Sie im Popup-Dialogfeld Löschen aus, um zu bestätigen.

Benutzer von Warnmeldungen ausschließen

Wenn es bestimmte vertrauenswürdige Benutzer gibt, deren Verhalten möglicherweise Warnmeldungen zum Benutzerverhalten auslöst, können Sie sie von Warnmeldungen ausschließen.

Schritte

  1. Unter Ransomware Resilience wählen Sie Einstellungen.

  2. Suchen Sie im Dashboard „Einstellungen“ die Karte „Benutzeraktivität“ und wählen Sie dann Manage aus.

  3. Wählen Sie die Registerkarte Excluded users aus.

  4. Um einzelne Benutzer in der Benutzeroberfläche zu überprüfen, wählen Sie Manuell auswählen. Um eine Liste ausgeschlossener Benutzer hochzuladen, wählen Sie Hochladen.

    1. Wenn Sie Manuell auswählen gewählt haben, aktivieren Sie das Kontrollkästchen neben den Namen der spezifischen Benutzer, die Sie ausschließen möchten.

    2. Wenn Sie Hochladen auswählen, laden Sie die CSV- oder JSON-Datei mit der Liste aller Benutzer herunter. Wählen Sie Herunterladen, um auf die Liste zuzugreifen.

      Überprüfen Sie die Datei auf Ihrem lokalen Rechner. Entfernen Sie die Namen aller Benutzer, für die Sie die Erkennung beibehalten möchten. Wenn die Liste nur noch die Namen der Benutzer enthält, die Sie von der Erkennung ausschließen möchten, speichern Sie sie.

    Wählen Sie in Ransomware Resilience Hochladen aus. Suchen Sie die Datei und laden Sie sie hoch.

  5. Wählen Sie Hinzufügen aus, um das Hinzufügen der Benutzer zur Ausschlussliste abzuschließen.

  6. Auf der Registerkarte Ausgeschlossene Benutzer werden nun die Namen der Benutzer angezeigt, die aus den Warnmeldungen zur Benutzerverhaltenserkennung entfernt wurden.

Tipp Sie können einen Benutzer auch direkt von einer Benachrichtigung ausschließen. Weitere Informationen finden Sie unter "Auf Ransomware-Warnungen reagieren".

Benutzer aus der Liste der ausgeschlossenen Benutzer entfernen

Sie können einen Benutzer anschließend wieder zur Erkennung hinzufügen.

Schritte

  1. Suchen Sie im Dashboard „Einstellungen“ die Karte „Benutzeraktivität“ und wählen Sie dann Manage aus.

  2. Wählen Sie die Registerkarte Excluded users aus.

  3. Wählen Sie Hinzufügen.

  4. Um einzelne Benutzer von der UI auszuschließen, wählen Sie Select manually.

  5. Suchen Sie den Namen des Benutzers, den Sie aus der Liste der ausgeschlossenen Benutzer entfernen möchten. Wählen Sie das Aktionsmenü (…​) in der Zeile mit dem Benutzernamen und dann Entfernen.

  6. Wählen Sie im Dialogfeld Entfernen aus, um zu bestätigen, dass Sie die ausgewählten Benutzer entfernen möchten.

Reagieren Sie auf Warnungen zu verdächtigen Benutzeraktivitäten

Nachdem Sie die Erkennung verdächtiger Benutzeraktivitäten konfiguriert haben, können Sie Ereignisse auf der Warnseite überwachen. Weitere Informationen finden Sie unter "Erkennen Sie bösartige Aktivitäten und verdächtiges Nutzerverhalten".