Skip to main content
NetApp Ransomware Resilience
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar la detección de actividad sospechosa de usuarios en NetApp Ransomware Resilience

Colaboradores netapp-ahibbard
PDF

Ransomware Resilience admite la detección de comportamiento sospechoso de los usuarios en las políticas de detección, lo que le permite abordar incidentes de ransomware a nivel de usuario.

Ransomware Resilience detecta actividad sospechosa del usuario analizando los eventos de actividad del usuario generados por FPolicy en ONTAP. Para recopilar datos de actividad del usuario, debe implementar uno o más agentes de actividad del usuario. El agente es un servidor Linux o una máquina virtual con conectividad a los dispositivos de su inquilino.

Agentes y coleccionistas

Se debe instalar al menos un agente de actividad del usuario para activar la detección de actividad de usuario sospechosa en Ransomware Resilience. Cuando activa la función de actividad de usuario sospechosa desde el panel de resiliencia contra ransomware, debe proporcionar la información del host del agente.

Un agente puede alojar varios recopiladores de datos. Los recopiladores de datos envían datos a una ubicación SaaS para su análisis. Hay dos tipos de coleccionistas:

  • El recopilador de datos recopila datos de actividad del usuario de ONTAP.

  • El conector de directorio de usuarios se conecta a su directorio para asignar ID de usuarios a nombres de usuario.

Los recopiladores se configuran en la configuración de Resiliencia ante ransomware.

Habilitar la detección de actividad sospechosa de usuarios

Rol de consola requerido Para activar la detección de actividad de usuarios sospechosos, necesita el rol de administrador de la organización. Para configuraciones posteriores de actividad de usuarios sospechosa, necesita el rol de administrador de comportamiento de usuario de Ransomware Resilience. "Obtenga información sobre las funciones de resiliencia ante ransomware para la NetApp Console".

Agregar un agente de actividad del usuario

Los agentes de actividad del usuario son entornos ejecutables para los recopiladores de datos; los recopiladores de datos comparten eventos de actividad del usuario con Ransomware Resilience. Debe crear al menos un agente de actividad de usuario para habilitar la detección de actividad de usuario sospechosa.

Requisitos

Para instalar un agente de actividad del usuario, necesita un host o una máquina virtual que cumpla con los siguientes requisitos de servidor y sistema operativo compatibles.

Requisitos del sistema operativo

Sistema operativo Versiones compatibles

AlmaLinux

9.4 (64 bits) a 9.5 (64 bits) y 10 (64 bits), incluido SELinux

CentOS

CentOS Stream 9 (64 bits)

Debian

11 (64 bits), 12 (64 bits), incluido SELinux

OpenSUSE Leap

15.3 (64 bits) a 15.6 (64 bits)

Oracle Linux

8.10 (64 bits) y 9.1 (64 bits) a 9.6 (64 bits), incluido SELinux

Sombrero rojo

8.10 (64 bits), 9.1 (64 bits) a 9.6 (64 bits) y 10 (64 bits), incluido SELinux

Rocoso

Rocky 9.4 (64 bits) a 9.6 (64 bits), incluido SELinux

SUSE Enterprise Linux

15 SP4 (64 bits) a 15 SP6 (64 bits), incluido SELinux

Ubuntu

20.04 LTS (64 bits), 22.04 LTS (64 bits) y 24.04 LTS (64 bits)

Requisitos del servidor

El servidor debe cumplir los siguientes requisitos mínimos:

  • CPU: 4 núcleos

  • RAM: 16 GB de RAM

  • Espacio en disco: 35 GB de espacio libre en disco

Soporte del proveedor de la nube

Los datos de actividad sospechosa del usuario pueden almacenarse en AWS y Azure en las siguientes regiones:

Proveedor de nube Región

AWS

  • Asia Pacífico (Sídney) (ap-southeast-2)

  • Europa (Frankfurt) (eu-central-1)

  • Este de EE. UU. (Norte de Virginia) (us-east-1)

Azur

Este de EE. UU.
Pasos

  1. Si es la primera vez que crea un agente de actividad de usuario, vaya al Panel de control. En el mosaico Actividad del usuario, seleccione Activar.

    Si está agregando un agente de actividad de usuario adicional, vaya a Configuración, ubique el mosaico Actividad de usuario y luego seleccione Administrar. En la pantalla Actividad del usuario, seleccione la pestaña Agentes de actividad del usuario y luego Agregar.

  2. Seleccione un Proveedor de nube y luego una Región. Seleccione Siguiente.

  3. Proporcione los detalles del agente de actividad del usuario:

    • Nombre del agente de actividad del usuario

    • Agente de consola: el agente de consola debe estar en la misma red que el agente de actividad del usuario y tener conectividad SSH a la dirección IP del agente de actividad del usuario.

    • Nombre DNS o dirección IP de la máquina virtual

    • Clave SSH de VM

      Captura de pantalla de la interfaz del agente de agregar actividad.

  4. Seleccione Siguiente.

  5. Revise su configuración. Seleccione Activar para completar la adición del agente de actividad del usuario.

  6. Confirme que el agente de actividad del usuario se creó correctamente. En el mosaico Actividad del usuario, una implementación exitosa se muestra como En ejecución.

Resultado

Una vez creado exitosamente el agente de actividad del usuario, regrese al menú Configuración y seleccione Administrar en el mosaico Actividad del usuario. Seleccione la pestaña Agente de actividad del usuario y luego seleccione el agente de actividad del usuario para ver detalles al respecto, incluidos los recopiladores de datos y los conectores del directorio de usuarios.

Agregar un recopilador de datos

Los recopiladores de datos se crean automáticamente cuando habilita una estrategia de protección contra ransomware con detección de actividad de usuario sospechosa. Para obtener más información, consulte añadir una política de detección.

Puede ver los detalles del recopilador de datos. Desde Configuración, seleccione Administrar en el mosaico Actividad del usuario. Seleccione la pestaña Recopilador de datos y luego seleccione el recopilador de datos para ver sus detalles o pausarlo.

Captura de pantalla de la configuración de la actividad del usuario

Agregar un conector de directorio de usuarios

Para asignar ID de usuario a nombres de usuario, debe crear un conector de directorio de usuarios.

Pasos

  1. En Ransomware Resilience, vaya a Configuración.

  2. En el mosaico Actividad del usuario, seleccione Administrar.

  3. Seleccione la pestaña Conectores de directorio de usuario y luego Agregar.

  4. Configurar la conexión. Introduzca la información requerida para cada campo.

    Campo Descripción

    Nombre

    Introduzca un nombre único para el conector del directorio de usuarios

    Tipo de directorio de usuario

    El tipo de directorio

    Dirección IP del servidor o nombre de dominio

    La dirección IP o el nombre de dominio completo (FQDN) del servidor que aloja la conexión

    Nombre del bosque o nombre de búsqueda

    Puede especificar el nivel de bosque de la estructura del directorio como el nombre de dominio directo (por ejemplo unit.company.com) o un conjunto de nombres distinguidos relativos (por ejemplo: DC=unit,DC=company,DC=com). También puedes introducir un OU para filtrar por una unidad organizativa o una CN para limitar a un usuario específico (por ejemplo: CN=user,OU=engineering,DC=unit,DC=company,DC=com).

    VINCULO DN

    El DN BIND es una cuenta de usuario autorizada para buscar en el directorio, como por ejemplo usuario@dominio.com. El usuario requiere el permiso de Sólo lectura del dominio.

    Contraseña BIND

    La contraseña para el usuario proporcionada en BIND DN

    Protocolo

    El campo de protocolo es opcional. Puede utilizar LDAP, LDAPS o LDAP sobre StartTLS.

    Puerto

    Introduzca el número de puerto elegido

    Captura de pantalla de la conexión del directorio de usuarios

    Proporcione los detalles de mapeo de atributos:

    • Nombre para mostrar

    • SID (si estás usando LDAP)

    • Nombre de usuario

    • ID de Unix (si estás usando NFS)

    • Si selecciona Incluir atributos opcionales, también puede agregar una dirección de correo electrónico, número de teléfono, rol, estado, país, departamento, foto, DN de gerente o grupos. Seleccione Avanzado para agregar una consulta de búsqueda opcional.

  5. Seleccione Agregar.

  6. Regrese a la pestaña de conectores del directorio de usuarios para verificar el estado de su conector de directorio de usuarios. Si se crea correctamente, el estado del conector del directorio de usuario se muestra como En ejecución.

Eliminar un conector de directorio de usuarios

  1. En Ransomware Resilience, vaya a Configuración.

  2. Localice el mosaico Actividad del usuario y seleccione Administrar.

  3. Seleccione la pestaña Conector de directorio de usuarios.

  4. Identifique el conector del directorio de usuario que desea eliminar. En el menú de acciones al final de la línea, seleccione los tres puntos …​ luego Eliminar.

  5. En el cuadro de diálogo emergente, seleccione Eliminar para confirmar sus acciones.

Responder a alertas de actividad sospechosa del usuario

Después de configurar la detección de actividad de usuarios sospechosas, puede monitorear eventos en la página de alertas. Para obtener más información, consulte "Detectar actividad maliciosa y comportamiento anómalo del usuario" .