Skip to main content
NetApp Ransomware Resilience
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Requisitos de detección de actividad de usuario para NetApp Ransomware Resilience

Colaboradores netapp-ahibbard
PDF

NetApp Ransomware Resilience user behavior detection te permite responder a eventos de ransomware a nivel de usuario. Debes crear un conjunto de agentes para habilitar la detección de comportamiento del usuario. Antes de habilitar la detección, debes asegurarte de cumplir con los requisitos de sistema operativo, servidor y red descritos para que Ransomware Resilience pueda detectar e informar eventos correctamente.

La detección del comportamiento del usuario es compatible con Ransomware Resilience para cargas de trabajo en sistemas ONTAP locales, así como con Amazon FsxN para NetApp ONTAP y Cloud Volumes ONTAP systems que se alinean con Soporte del proveedor de la nube.

Soporte del proveedor de la nube

Los datos de comportamiento de los usuarios se pueden almacenar en AWS y Azure en las siguientes regiones:

Proveedor de nube Región

AWS

  • Asia Pacífico (Sídney) (ap-southeast-2)

  • Europa (Frankfurt) (eu-central-1)

  • Este de EE. UU. (Norte de Virginia) (us-east-1)

Azur

Este de EE. UU.

Requisitos del sistema operativo

La detección de comportamiento sospechoso del usuario es compatible con los siguientes sistemas operativos:

Sistema operativo Versiones compatibles

AlmaLinux

9.4 (64 bits) a 9.5 (64 bits) y 10 (64 bits), incluido SELinux

CentOS

CentOS Stream 9 (64 bits)

Debian

11 (64 bits), 12 (64 bits), incluido SELinux

OpenSUSE Leap

15.3 (64 bits) a 15.6 (64 bits)

Oracle Linux

8.10 (64 bits) y 9.1 (64 bits) a 9.6 (64 bits), incluido SELinux

Sombrero rojo

8.10 (64 bits), 9.1 (64 bits) a 9.6 (64 bits) y 10 (64 bits), incluido SELinux

Rocoso

Rocky 9.4 (64 bits) a 9.6 (64 bits), incluido SELinux

SUSE Enterprise Linux

15 SP4 (64 bits) a 15 SP6 (64 bits), incluido SELinux

Ubuntu

20.04 LTS (64 bits), 22.04 LTS (64 bits) y 24.04 LTS (64 bits)
Nota La máquina que utilice para el agente de actividad del usuario no debe estar ejecutando otro software de nivel de aplicación. Se recomienda un servidor dedicado.

El unzip Se requiere comando para la instalación. El sudo su - El comando es necesario para la instalación, la ejecución de scripts y la desinstalación.

Requisitos del servidor

El servidor debe cumplir los siguientes requisitos mínimos:

  • CPU: 4 núcleos

  • RAM: 16 GB de RAM

  • Espacio en disco: 36 GB de espacio libre en disco

Recomendaciones del servidor

  • Asigne espacio de disco adicional para permitir la creación del sistema de archivos. Asegúrese de que haya al menos 35 GB de espacio libre en el sistema de archivos. + Si /opt es una carpeta montada desde un almacenamiento NAS, los usuarios locales deben tener acceso a esta carpeta. La creación del agente de actividad del usuario puede fallar si los usuarios locales no tienen los permisos necesarios.

  • Se recomienda que instales el agente de actividad del usuario en un sistema independiente de tu entorno de Ransomware Resilience. Si los instalas en la misma máquina, deberías dejar entre 50 y 55 GB de espacio en disco. Para Linux, asigna entre 25 y 30 GB de espacio a /opt/netapp y 25 GB a var/log/netapp.

  • Se recomienda sincronizar la hora tanto en el sistema ONTAP como en la máquina del agente de actividad del usuario mediante el Protocolo de tiempo de red (NTP) o el Protocolo simple de tiempo de red (SNTP).

Recomendaciones de dimensionamiento

Al recopilar eventos de usuario, asegúrate de que la máquina que aloja el agente de actividad de usuario tenga el tamaño adecuado para adaptarse a tu tasa de eventos. Esto significa asegurarte de que tienes suficientes recopiladores de datos y suficiente CPU y RAM en la máquina que aloja el agente de actividad de usuario para tolerar el número de eventos por segundo. Para aumentar el número de recopiladores de datos, puede que necesites aumentar la capacidad de RAM o CPU. Ransomware Resilience admite hasta 50 recopiladores de datos por agente de actividad de usuario.

La siguiente tabla proporciona una orientación general para el dimensionamiento:

Configuración de la máquina del agente de actividad del usuario Número de recopiladores de datos Índice máximo de eventos

4 núcleos, 16GB

10 recopiladores de datos

20,000 eventos/segundo

4 núcleos, 32GB

20 recopiladores de datos

20,000 eventos/segundo

También puedes calcular tus necesidades específicas. Al calcular el tamaño adecuado, se recomienda que utilices un porcentaje de búfer del 30%. Utiliza esta fórmula para determinar si tu configuración puede soportar la carga.

Where E is the sum of all events per second across all data collectors:

E + (0.3 x E) < 20,000 events/second
Ransomware Resilience proporciona un script para calcular la tasa de datos de eventos. Aprende cómo calcular la tasa de datos de eventos en Ransomware Resilience.

Ransomware Resilience proporciona un script que puedes ejecutar en tu sistema para calcular la tasa de datos de eventos. Por defecto, el script se ejecuta para un máximo de cinco máquinas virtuales de almacenamiento. Si tu entorno incluye más de 5 SVM, puedes modificar el script según sea necesario. Independientemente del número de SVM, el script tarda aproximadamente cinco minutos en obtener una lectura promedio de la tasa de eventos. Antes de ejecutar el script, debes tener:

  • "Configuraste un agente de actividad del usuario"

  • La dirección IP del clúster

  • El nombre de usuario y la contraseña del administrador del clúster

  • Instalado sshpass en la máquina Linux (puedes instalarlo con la línea de comandos sudo yum install -y sshpass)

Pasos

  1. Desde el clúster que aloja el agente de actividad del usuario, ejecuta la secuencia de comandos como admin: /opt/netapp/cloudsecure/agent/install/svm_event_rate_checker.sh

  2. Cuando se te solicite, proporciona la dirección IP del clúster, el nombre de usuario de admin y la contraseña de admin.

  3. El script tarda aproximadamente cinco minutos en ejecutarse. Cuando finaliza, la línea de comandos muestra la tasa de eventos, por ejemplo "Svm svm_rate está generando 100 eventos/seg."

    Utiliza el índice de eventos para calcular tu tamaño.

Reglas de acceso a la red en la nube

Revise las reglas de acceso a la red en la nube para su geografía relevante (Asia Pacífico, Europa o Estados Unidos).

Importante Durante la instalación inicial, reemplaza el <site_name> con un permiso comodín (*). Después de que el agente esté activado y completamente operativo, puedes reemplazar el permiso por el nombre del sitio. Contacta a tu representante de NetApp para el nombre del sitio.
Nota El agente de actividad del usuario utiliza la tecnología NetApp Data Infrastructure Insights, por eso se usan los endpoints de cloudinsights. Para más información, consulta

Implementaciones de agentes de actividad de usuario basadas en APAC

Protocolo Puerto Fuente Destino Descripción

HTTPS (TCP)

443

Agente de actividad del usuario

  • <site_name>.cs01-ap-1.cloudinsights.netapp.com

  • <site_name>.c01-ap-1.cloudinsights.netapp.com

  • <site_name>.c02-ap-1.cloudinsights.netapp.com

  • gentlogin.cs01-ap-1.cloudinsights.netapp.com

Acceso a la resiliencia frente al ransomware

Implementaciones de agentes de actividad de usuarios con sede en Europa

Protocolo Puerto Fuente Destino Descripción

HTTPS (TCP)

443

Agente de actividad del usuario

  • <site_name>.cs01-eu-1.cloudinsights.netapp.com

  • <site_name>.c01-eu-1.cloudinsights.netapp.com

  • <site_name>.c02-eu-1.cloudinsights.netapp.com

  • agentlogin.cs01-eu-1.cloudinsights.netapp.com

Acceso a la resiliencia frente al ransomware

Despliegues de agentes de actividad de usuarios en EE. UU.

Protocolo Puerto Fuente Destino Descripción

HTTPS (TCP)

443

Agente de actividad del usuario

  • <site_name>.cs01.cloudinsights.netapp.com

  • <site_name>.c01.cloudinsights.netapp.com

  • <site_name>.c02.cloudinsights.netapp.com

  • agentlogin.cs01.cloudinsights.netapp.com

Acceso a la resiliencia frente al ransomware

Reglas dentro de la red

Protocolo Puerto Fuente Destino Descripción

TCP

389(LDAP) 636 (LDAP/start-tls)

Agente de actividad del usuario

URL del servidor LDAP

Conectarse a LDAP

HTTPS (TCP)

443

Agente de actividad del usuario

Dirección IP de administración del clúster o SVM (según la configuración del recopilador SVM)

Comunicación API con ONTAP

TCP

35000 - 55000

Direcciones IP de LIF de datos SVM

Agente de actividad del usuario

Comunicación de ONTAP al agente de actividad del usuario para eventos de Fpolicy. Estos puertos deben estar abiertos hacia el agente de actividad del usuario para que ONTAP pueda enviarle eventos, incluido cualquier firewall en el propio agente de actividad del usuario (si está presente). + NOTA: No es necesario reservar todos estos puertos, pero los puertos que reserve para esto deben estar dentro de este rango. Se recomienda comenzar reservando 100 puertos y aumentarlos si es necesario.

TCP

35000-55000

IP de gestión de clúster

Agente de actividad del usuario

Comunicación desde la IP de administración del clúster ONTAP al agente de actividad del usuario para eventos EMS. Estos puertos deben estar abiertos hacia el agente de actividad del usuario para que ONTAP pueda enviarle eventos EMS, incluido cualquier firewall en el propio agente de actividad del usuario. + NOTA: No es necesario reservar todos estos puertos, pero los puertos que reserve para esto deben estar dentro de este rango. Se recomienda comenzar reservando 100 puertos y aumentarlos si es necesario.

SSH

22

Agente de actividad del usuario

Gestión de clústeres

Necesario para el bloqueo de usuarios CIFS/SMB.

Siguiente paso