Skip to main content
NetApp Ransomware Resilience
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configura agentes y recopiladores para la detección de actividad de usuarios en NetApp Ransomware Resilience

Colaboradores netapp-ahibbard
PDF

La detección de actividad del usuario de NetApp Ransomware Resilience te ayuda a prevenir eventos de ransomware a nivel de usuario. Para habilitar la detección de comportamiento sospechoso del usuario en Ransomware Resilience, debes instalar al menos un agente de actividad del usuario, que crea un entorno de recopilación de datos para monitorear el comportamiento del usuario en busca de patrones aberrantes que se parezcan a eventos de ransomware.

Un agente de actividad de usuario aloja un recopilador de datos y un conector de directorio de usuario, que ambos envían datos a una ubicación SaaS para análisis.

  • El recolector de datos recopila datos de actividad de usuario de ONTAP. El recolector de datos se crea automáticamente cuando creas una estrategia de protección con detección de comportamiento de usuario.

  • El conector de directorio de usuarios se conecta a tu directorio para asignar ID de usuario a nombres de usuario. Debes configurar el conector de directorio de usuarios.

El agente de actividad del usuario, el recopilador de datos y el conector del directorio de usuarios se pueden gestionar desde el panel de configuración de Ransomware Resilience.

Nota Si ya estás usando NetApp Data Infrastructure Insights (DII) Workload Security, se recomienda que uses los mismos agentes de Workload Security para Ransomware Resilience. No necesitas implementar agentes de Workload Security independientes para Ransomware Resilience, pero usar los mismos agentes de Workload Security requiere una relación de emparejamiento entre la organización de la consola de Ransomware Resilience y el tenant de DII Storage Workload Security. Contacta a tu representante de cuenta para habilitar este emparejamiento.

+ Si no usas DII, sigue las instrucciones de configuración aquí.

Antes de empezar

Rol requerido de la consola Para activar la detección de actividad sospechosa de usuarios, necesitas el rol Organization admin role. Para las configuraciones posteriores de actividad sospechosa de usuarios, necesitas el rol Ransomware Resilience user behavior admin role. "Obtenga información sobre las funciones de resiliencia ante ransomware para la NetApp Console".

Asegúrate de que cada función se aplique a nivel de la organización.

Crear un agente de actividad de usuario

Los agentes de actividad de usuario son entornos ejecutables para "recopiladores de datos"; los recopiladores de datos comparten eventos de actividad de usuario con Ransomware Resilience. Debes crear al menos un agente de actividad de usuario para habilitar la detección de actividad de usuario sospechosa.

Pasos

  1. Si es la primera vez que crea un agente de actividad de usuario, vaya al Panel de control. En el mosaico Actividad del usuario, seleccione Activar.

    Si está agregando un agente de actividad de usuario adicional, vaya a Configuración, ubique el mosaico Actividad de usuario y luego seleccione Administrar. En la pantalla Actividad del usuario, seleccione la pestaña Agentes de actividad del usuario y luego Agregar.

  2. Seleccione un Proveedor de nube y luego una Región. Seleccione Siguiente.

  3. Proporcione los detalles del agente de actividad del usuario:

    • Nombre del agente de actividad del usuario

    • Agente de consola: el agente de consola debe estar en la misma red que el agente de actividad del usuario y tener conectividad SSH a la dirección IP del agente de actividad del usuario.

    • Nombre DNS o dirección IP de la máquina virtual

    • VM SSH Key - Ingresa la clave SSH usando este formato:

      -----BEGIN OPENSSH PRIVATE KEY-----
private-key-contents
-----END OPENSSH PRIVATE KEY-----

      Captura de pantalla de la interfaz del agente de agregar actividad.

  4. Seleccione Siguiente.

  5. Revise su configuración. Seleccione Activar para completar la adición del agente de actividad del usuario.

  6. Confirma que el agente de actividad de usuario se creó correctamente. En el mosaico de actividad de usuario, una implementación exitosa se muestra como Running.

Resultado

Después de que el agente de actividad de usuario se cree correctamente, vuelve al menú Settings y luego selecciona Manage en el mosaico de User activity. Selecciona la pestaña User activity agents y luego selecciona el agente de actividad de usuario para ver detalles sobre él, incluidos los recopiladores de datos y los conectores del directorio de usuarios.

Agregar un recopilador de datos

Los recopiladores de datos se crean automáticamente cuando habilitas una estrategia de protección contra ransomware con detección de actividad sospechosa de usuarios. Para más información, consulta "añadir una política de detección".

Puede ver los detalles del recopilador de datos. Desde Configuración, seleccione Administrar en el mosaico Actividad del usuario. Seleccione la pestaña Recopilador de datos y luego seleccione el recopilador de datos para ver sus detalles o pausarlo.

Captura de pantalla de la configuración de actividad del usuario.

Crear un conector de directorio de usuarios

Para asignar ID de usuario a nombres de usuario, debe crear un conector de directorio de usuarios.

Pasos

  1. En Ransomware Resilience, vaya a Configuración.

  2. En el mosaico Actividad del usuario, seleccione Administrar.

  3. Seleccione la pestaña Conectores de directorio de usuario y luego Agregar.

  4. Configurar la conexión. Introduzca la información requerida para cada campo.

    Campo Descripción

    Nombre

    Introduzca un nombre único para el conector del directorio de usuarios

    Tipo de directorio de usuario

    El tipo de directorio

    Dirección IP del servidor o nombre de dominio

    La dirección IP o el nombre de dominio completo (FQDN) del servidor que aloja la conexión

    Nombre del bosque o nombre de búsqueda

    Puede especificar el nivel de bosque de la estructura del directorio como el nombre de dominio directo (por ejemplo unit.company.com) o un conjunto de nombres distinguidos relativos (por ejemplo: DC=unit,DC=company,DC=com). También puedes introducir un OU para filtrar por una unidad organizativa o una CN para limitar a un usuario específico (por ejemplo: CN=user,OU=engineering,DC=unit,DC=company,DC=com).

    VINCULO DN

    El DN BIND es una cuenta de usuario autorizada para buscar en el directorio, como por ejemplo usuario@dominio.com. El usuario requiere el permiso de Sólo lectura del dominio.

    Contraseña BIND

    La contraseña para el usuario proporcionada en BIND DN

    Protocolo

    El campo de protocolo es opcional. Puede utilizar LDAP, LDAPS o LDAP sobre StartTLS.

    Puerto

    Introduzca el número de puerto elegido

    Captura de pantalla de la conexión del directorio de usuarios

    Proporcione los detalles de mapeo de atributos:

    • Nombre para mostrar

    • SID (si estás usando LDAP)

    • Nombre de usuario

    • ID de Unix (si estás usando NFS)

    • Si selecciona Incluir atributos opcionales, también puede agregar una dirección de correo electrónico, número de teléfono, rol, estado, país, departamento, foto, DN de gerente o grupos. Seleccione Avanzado para agregar una consulta de búsqueda opcional.

  5. Seleccione Agregar.

  6. Regrese a la pestaña de conectores del directorio de usuarios para verificar el estado de su conector de directorio de usuarios. Si se crea correctamente, el estado del conector del directorio de usuario se muestra como En ejecución.

Eliminar un conector de directorio de usuarios

Pasos

  1. En Ransomware Resilience, vaya a Configuración.

  2. Localice el mosaico Actividad del usuario y seleccione Administrar.

  3. Seleccione la pestaña Conector de directorio de usuarios.

  4. Identifique el conector del directorio de usuario que desea eliminar. En el menú de acciones al final de la línea, seleccione los tres puntos …​ luego Eliminar.

  5. En el cuadro de diálogo emergente, selecciona Borrar para confirmar.

Excluir usuarios de alertas

Si hay ciertos usuarios de confianza cuyo comportamiento podría activar alertas de comportamiento del usuario, puedes excluirlos de las alertas.

Pasos

  1. En Ransomware Resilience, seleccione Configuración.

  2. En el panel de control de Configuración, localiza la tarjeta de actividad de usuario y selecciona Manage.

  3. Selecciona la pestaña Usuarios excluidos.

  4. Para revisar usuarios individuales en la interfaz de usuario, elige Seleccionar manualmente. Para cargar una lista de usuarios excluidos, selecciona Cargar.

    1. Si seleccionaste Seleccionar manualmente, marca la casilla junto a los nombres de los usuarios específicos que quieres excluir.

    2. Si seleccionas Upload, descarga el archivo CSV o JSON que incluye la lista de todos los usuarios. Selecciona Download para acceder a la lista.

      En tu equipo local, revisa el archivo. Elimina los nombres de todos los usuarios para los que quieres mantener la detección. Cuando la lista incluya solo los nombres de los usuarios que quieres excluir de la detección, guárdala.

    En Ransomware Resilience, selecciona Subir. Localiza y sube el archivo.

  5. Selecciona Add para terminar de añadir los usuarios a la lista de exclusión.

  6. En la pestaña Usuarios excluidos, los nombres de los usuarios eliminados de las alertas de detección de comportamiento de usuario ahora se muestran en el panel.

Consejo También puedes excluir a un usuario directamente de una alerta. Para más información, consulta "Responde a las alertas de ransomware".

Eliminar usuarios de la lista de usuarios excluidos

Puedes agregar un usuario de nuevo a la detección después.

Pasos

  1. En el panel de control de Configuración, localiza la tarjeta de actividad de usuario y selecciona Manage.

  2. Selecciona la pestaña Usuarios excluidos.

  3. Seleccione Agregar.

  4. Para excluir usuarios individuales de la interfaz de usuario, elige Seleccionar manualmente.

  5. Localiza el nombre del usuario que quieres eliminar de la selección de usuarios excluidos. Selecciona el menú de acciones (…​) en la fila con el nombre del usuario y luego Remove.

  6. En el cuadro de diálogo, selecciona Eliminar para confirmar que quieres eliminar a los usuarios seleccionados.

Responder a alertas de actividad sospechosa del usuario

Después de configurar la detección de actividad sospechosa de usuarios, puedes monitorear los eventos en la página de alertas. Para más información, consulta "Detecta actividad maliciosa y comportamiento sospechoso de los usuarios".