Requisitos para la detección del comportamiento del usuario en NetApp Ransomware Resilience
Sugerir cambios
PDF
NetApp Ransomware Resilience user behavior detection te permite responder a eventos de ransomware a nivel de usuario. Debes crear un conjunto de agentes para habilitar la detección de comportamiento del usuario. Antes de habilitar la detección, debes asegurarte de cumplir con los requisitos de sistema operativo, servidor y red descritos para que Ransomware Resilience pueda detectar e informar eventos correctamente.
Soporte del proveedor de la nube
Los datos de actividad sospechosa del usuario pueden almacenarse en AWS y Azure en las siguientes regiones:
| Proveedor de nube | Región |
|---|---|
AWS |
|
Azur |
Este de EE. UU. |
Requisitos del sistema operativo
La detección de comportamiento sospechoso del usuario es compatible con los siguientes sistemas operativos:
| Sistema operativo | Versiones compatibles |
|---|---|
AlmaLinux |
9.4 (64 bits) a 9.5 (64 bits) y 10 (64 bits), incluido SELinux |
CentOS |
CentOS Stream 9 (64 bits) |
Debian |
11 (64 bits), 12 (64 bits), incluido SELinux |
OpenSUSE Leap |
15.3 (64 bits) a 15.6 (64 bits) |
Oracle Linux |
8.10 (64 bits) y 9.1 (64 bits) a 9.6 (64 bits), incluido SELinux |
Sombrero rojo |
8.10 (64 bits), 9.1 (64 bits) a 9.6 (64 bits) y 10 (64 bits), incluido SELinux |
Rocoso |
Rocky 9.4 (64 bits) a 9.6 (64 bits), incluido SELinux |
SUSE Enterprise Linux |
15 SP4 (64 bits) a 15 SP6 (64 bits), incluido SELinux |
Ubuntu |
20.04 LTS (64 bits), 22.04 LTS (64 bits) y 24.04 LTS (64 bits) |
|
La máquina que utilice para el agente de actividad del usuario no debe estar ejecutando otro software de nivel de aplicación. Se recomienda un servidor dedicado. |
El unzip Se requiere comando para la instalación. El sudo su - El comando es necesario para la instalación, la ejecución de scripts y la desinstalación.
Requisitos del servidor
El servidor debe cumplir los siguientes requisitos mínimos:
-
CPU: 4 núcleos
-
RAM: 16 GB de RAM
-
Espacio en disco: 36 GB de espacio libre en disco
Recomendaciones del servidor
-
Asigne espacio de disco adicional para permitir la creación del sistema de archivos. Asegúrese de que haya al menos 35 GB de espacio libre en el sistema de archivos. + Si
/optes una carpeta montada desde un almacenamiento NAS, los usuarios locales deben tener acceso a esta carpeta. La creación del agente de actividad del usuario puede fallar si los usuarios locales no tienen los permisos necesarios. -
Se recomienda que instales el agente de actividad del usuario en un sistema independiente de tu entorno de Ransomware Resilience. Si los instalas en la misma máquina, deberías dejar entre 50 y 55 GB de espacio en disco. Para Linux, asigna entre 25 y 30 GB de espacio a
/opt/netappy 25 GB avar/log/netapp. -
Se recomienda sincronizar la hora tanto en el sistema ONTAP como en la máquina del agente de actividad del usuario mediante el Protocolo de tiempo de red (NTP) o el Protocolo simple de tiempo de red (SNTP).
Reglas de acceso a la red en la nube
Revise las reglas de acceso a la red en la nube para su geografía relevante (Asia Pacífico, Europa o Estados Unidos).
|
Durante la instalación inicial, reemplaza el <site_name> con un permiso comodín (*). Después de que el agente esté activado y completamente operativo, puedes reemplazar el permiso por el nombre del sitio. Contacta a tu representante de NetApp para el nombre del sitio.
|
|
|
El agente de actividad del usuario utiliza la tecnología NetApp Data Infrastructure Insights, por eso se usan los endpoints de cloudinsights. Para más información, consulta
|
Implementaciones de agentes de actividad de usuario basadas en APAC
| Protocolo | Puerto | Fuente | Destino | Descripción |
|---|---|---|---|---|
HTTPS (TCP) |
443 |
Agente de actividad del usuario |
|
Acceso a la resiliencia frente al ransomware |
Implementaciones de agentes de actividad de usuarios con sede en Europa
| Protocolo | Puerto | Fuente | Destino | Descripción |
|---|---|---|---|---|
HTTPS (TCP) |
443 |
Agente de actividad del usuario |
|
Acceso a la resiliencia frente al ransomware |
Despliegues de agentes de actividad de usuarios en EE. UU.
| Protocolo | Puerto | Fuente | Destino | Descripción |
|---|---|---|---|---|
HTTPS (TCP) |
443 |
Agente de actividad del usuario |
|
Acceso a la resiliencia frente al ransomware |
Reglas dentro de la red
| Protocolo | Puerto | Fuente | Destino | Descripción |
|---|---|---|---|---|
TCP |
389(LDAP) 636 (LDAP/start-tls) |
Agente de actividad del usuario |
URL del servidor LDAP |
Conectarse a LDAP |
HTTPS (TCP) |
443 |
Agente de actividad del usuario |
Dirección IP de administración del clúster o SVM (según la configuración del recopilador SVM) |
Comunicación API con ONTAP |
TCP |
35000 - 55000 |
Direcciones IP de LIF de datos SVM |
Agente de actividad del usuario |
Comunicación de ONTAP al agente de actividad del usuario para eventos de Fpolicy. Estos puertos deben estar abiertos hacia el agente de actividad del usuario para que ONTAP pueda enviarle eventos, incluido cualquier firewall en el propio agente de actividad del usuario (si está presente). + NOTA: No es necesario reservar todos estos puertos, pero los puertos que reserve para esto deben estar dentro de este rango. Se recomienda comenzar reservando 100 puertos y aumentarlos si es necesario. |
TCP |
35000-55000 |
IP de gestión de clúster |
Agente de actividad del usuario |
Comunicación desde la IP de administración del clúster ONTAP al agente de actividad del usuario para eventos EMS. Estos puertos deben estar abiertos hacia el agente de actividad del usuario para que ONTAP pueda enviarle eventos EMS, incluido cualquier firewall en el propio agente de actividad del usuario. + NOTA: No es necesario reservar todos estos puertos, pero los puertos que reserve para esto deben estar dentro de este rango. Se recomienda comenzar reservando 100 puertos y aumentarlos si es necesario. |
SSH |
22 |
Agente de actividad del usuario |
Gestión de clústeres |
Necesario para el bloqueo de usuarios CIFS/SMB. |