Skip to main content
Data Infrastructure Insights
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configuration du SVM Data Collector de ONTAP

Contributeurs
PDF

La sécurité de la charge de travail utilise des collecteurs de données pour collecter les données d'accès des fichiers et des utilisateurs à partir de terminaux.

Avant de commencer

  • Ce collecteur de données est pris en charge avec les éléments suivants :

    • Data ONTAP 9.2 et versions ultérieures Pour des performances optimales, utilisez une version Data ONTAP supérieure à 9.13.1.

    • Protocole SMB version 3.1 et antérieure.

    • NFS versions jusqu'à NFS 4.1 avec ONTAP 9.15.1 ou version ultérieure incluse.

    • FlexGroup est pris en charge à partir de ONTAP 9.4 et versions ultérieures

    • ONTAP Select est pris en charge

  • Seuls les SVM de type données sont pris en charge. Les SVM avec Infinite volumes ne sont pas pris en charge.

  • SVM possède plusieurs sous-types. Parmi ceux-ci, seuls default, sync_source et sync_destination sont pris en charge.

  • Un agent "doit être configuré" avant de pouvoir configurer des collecteurs de données.

  • Assurez-vous que vous disposez d'un connecteur d'annuaire utilisateur correctement configuré. Dans le cas contraire, les événements affichent des noms d'utilisateur codés et non le nom réel de l'utilisateur (tel qu'il est stocké dans Active Directory) dans la page « activités approfondies ».

  • • Le magasin permanent ONTAP est pris en charge à partir de 9.14.1.

  • Pour des performances optimales, il est recommandé de configurer le serveur FPolicy sur le même sous-réseau que le système de stockage.

  • Vous devez ajouter un SVM à l'aide de l'une des deux méthodes suivantes :

    • En utilisant l'IP du cluster, le nom du SVM et le nom d'utilisateur et mot de passe de Cluster Management. c'est la méthode recommandée.

      • Le nom du SVM doit être exactement comme indiqué dans ONTAP et est sensible à la casse.

    • En utilisant SVM Vserver Management IP, Nom d'utilisateur et Mot de passe

    • Si vous ne pouvez pas utiliser le nom d'utilisateur et le mot de passe complets de gestion du cluster/SVM, vous pouvez créer un utilisateur personnalisé avec un Privileges inférieur, comme indiqué dans la “Une note sur les autorisations”section ci-dessous. Cet utilisateur personnalisé peut être créé pour l'accès au SVM ou au cluster.

      • o vous pouvez également utiliser un utilisateur AD avec un rôle qui possède au moins les autorisations de csrole, comme indiqué dans la section “Une note sur les autorisations” ci-dessous. Reportez-vous également à la "Documentation de l'ONTAP".

  • S'assurer que les applications correctes sont définies pour le SVM en exécutant la commande suivante :

    clustershell::> security login show -vserver <vservername> -user-or-group-name <username>

Exemple de résultat : Exemple de sortie de commande SVM

  • S'assurer que le SVM dispose d'un serveur CIFS configuré : clustershell::> vserver cifs show

    Le système renvoie le nom du Vserver, le nom du serveur CIFS et les champs supplémentaires.

  • Définir un mot de passe pour l'utilisateur SVM vsadmin. Si vous utilisez un utilisateur personnalisé ou un utilisateur admin du cluster, ignorez cette étape. Clustershell:::> security login password -username vsadmin -vserver svmname

  • Déverouiller l'utilisateur SVM vsadmin pour l'accès externe Si vous utilisez un utilisateur personnalisé ou un utilisateur admin du cluster, ignorez cette étape. Clustershell:::> security login unlock -username vsadmin -vserver svmname

  • Assurez-vous que la politique de pare-feu de la LIF de données est définie sur «mgmt» (et non «data»). Ignorez cette étape en cas d'utilisation d'une lif de gestion dédiée pour ajouter le SVM. Clustershell::> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • Lorsqu'un pare-feu est activé, une exception doit être définie pour autoriser le trafic TCP pour le port à l'aide du Data Collector Data ONTAP.

    Voir "Exigences de l'agent" pour plus d'informations sur la configuration. Cela s'applique aux agents et agents installés sur site dans le Cloud.

  • Lorsqu'un agent est installé dans une instance EC2 AWS pour contrôler un SVM Cloud ONTAP, l'agent et le stockage doivent se trouver dans le même VPC. S'ils sont dans des VPC distincts, il doit y avoir une route valide entre les VPC.

Conditions préalables au blocage de l'accès utilisateur

Gardez à l'esprit les "Blocage de l'accès utilisateur"points suivants :

Des informations d'identification au niveau du cluster sont nécessaires pour que cette fonctionnalité fonctionne.

Si vous utilisez les informations d'identification d'administration du cluster, aucune nouvelle autorisation n'est nécessaire.

Si vous utilisez un utilisateur personnalisé (par exemple, csuser) avec les autorisations accordées à l'utilisateur, suivez les étapes ci-dessous pour donner des autorisations à Workload Security afin de bloquer l'utilisateur.

Pour csuser avec les identifiants du cluster, effectuez la procédure suivante dans la ligne de commande ONTAP :

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

Remarque sur les autorisations

Autorisations lors de l'ajout via Cluster Management IP :

Si vous ne pouvez pas utiliser l'utilisateur administrateur de gestion du cluster pour permettre à Workload Security d'accéder au collecteur de données du SVM ONTAP, vous pouvez créer un nouvel utilisateur nommé « csuser » avec les rôles, comme indiqué dans les commandes ci-dessous. Utilisez le nom d'utilisateur "csuser" et le mot de passe pour "csuser" lors de la configuration du collecteur de données de la sécurité de la charge de travail pour utiliser l'adresse IP de gestion du cluster.

Pour créer le nouvel utilisateur, connectez-vous à ONTAP à l'aide du nom d'utilisateur/mot de passe de l'administrateur de gestion des clusters et exécutez les commandes suivantes sur le serveur ONTAP :

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

Autorisations lors de l'ajout via Vserver Management IP :

Si vous ne pouvez pas utiliser l'utilisateur administrateur de gestion du cluster pour permettre à Workload Security d'accéder au collecteur de données du SVM ONTAP, vous pouvez créer un nouvel utilisateur nommé « csuser » avec les rôles, comme indiqué dans les commandes ci-dessous. Utilisez le nom d'utilisateur "csuser" et le mot de passe "csuser" lors de la configuration du collecteur de données de la sécurité Workload pour utiliser l'IP de gestion Vserver.

Pour créer le nouvel utilisateur, connectez-vous à ONTAP à l'aide du nom d'utilisateur/mot de passe de l'administrateur de gestion des clusters et exécutez les commandes suivantes sur le serveur ONTAP. Pour faciliter la gestion, copiez ces commandes dans un éditeur de texte et remplacez <vservername> par votre nom de Vserver avant d'exécuter les commandes suivantes sur ONTAP :

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

Autorisations pour la protection anti-ransomware autonome ONTAP et accès ONTAP refusées

Si vous utilisez les informations d'identification d'administration du cluster, aucune nouvelle autorisation n'est nécessaire.

Si vous utilisez un utilisateur personnalisé (par exemple, csuser) avec les autorisations accordées à l'utilisateur, suivez les étapes ci-dessous pour donner les autorisations à la sécurité de la charge de travail afin de collecter des informations relatives à ARP à partir de ONTAP.

Pour plus d'informations, consultez à propos de "Intégration avec l'accès ONTAP refusée"

et "Intégration avec la protection ONTAP autonome contre les ransomwares"

Configurer le collecteur de données

Étapes de configuration

  1. Connectez-vous en tant qu'administrateur ou responsable de compte à votre environnement Data Infrastructure Insights.

  2. Cliquez sur sécurité de la charge de travail > collecteurs > +collecteurs de données

    Le système affiche les collecteurs de données disponibles.

  3. Placez le curseur de la souris sur la vignette NetApp SVM et cliquez sur *+Monitor.

    Le système affiche la page de configuration du SVM ONTAP. Entrez les données requises pour chaque champ.

Champ

Description

Nom

Nom unique pour le Data Collector

Agent

Sélectionnez un agent configuré dans la liste.

Se connecter via l'IP de gestion pour :

Sélectionnez IP de cluster ou IP de gestion SVM

Adresse IP de gestion cluster / SVM

L'adresse IP du cluster ou du SVM, en fonction de votre choix ci-dessus.

Nom de SVM

Le nom du SVM (ce champ est requis lors de la connexion via IP du cluster)

Nom d'utilisateur

Nom d'utilisateur pour accéder au SVM/Cluster lors de l'ajout via IP du cluster les options sont : 1. Cluster-admin 2. 'csuser' 3. UTILISATEUR AD ayant le rôle similaire à celui de csuser. Lors de l'ajout via SVM IP, les options sont les suivantes : 4. Vsadmin 5. 'csuser' 6. AD-username ayant le rôle similaire à csuser.

Mot de passe

Mot de passe du nom d'utilisateur ci-dessus

Filtrer les partages/volumes

Choisissez d'inclure ou d'exclure des partages/volumes de la collection d'événements

Entrez les noms de partage complets à exclure/inclure

Liste de partages séparés par des virgules à exclure ou inclure (le cas échéant) de la collection d'événements

Entrez les noms complets des volumes à exclure/inclure

Liste de volumes séparés par des virgules à exclure ou inclure (le cas échéant) de la collection d'événements

Surveiller l'accès au dossier

Lorsque cette case est cochée, active les événements pour la surveillance de l'accès aux dossiers. Notez que la création/le renommage et la suppression de dossiers seront contrôlés même si cette option n'est pas sélectionnée. L'activation de cette option augmente le nombre d'événements surveillés.

Définir la taille de la mémoire tampon d'envoi ONTAP

Définit la taille du tampon d'envoi de la Fpolicy ONTAP. Si une version antérieure à ONTAP 9.8p7 est utilisée et qu'un problème de performances est détecté, la taille de la mémoire tampon d'envoi ONTAP peut être modifiée pour améliorer les performances de ONTAP. Contactez le support NetApp si vous ne voyez pas cette option et souhaitez l'explorer.
Une fois que vous avez terminé

  • Dans la page collecteurs de données installés, utilisez le menu d'options à droite de chaque collecteur pour modifier le collecteur de données. Vous pouvez redémarrer le collecteur de données ou modifier les attributs de configuration du collecteur de données.

Configuration recommandée pour MetroCluster

Les recommandations suivantes sont recommandées pour MetroCluster :

  1. Connectez deux collecteurs de données, un sur le SVM source et un autre sur le SVM de destination.

  2. Les collecteurs de données doivent être connectés par Cluster IP.

  3. À tout moment, un collecteur de données doit être en cours d'exécution, un autre sera en erreur.

    Le collecteur de données actuel de la SVM "en cours d'exécution" s'affiche sous la forme running. Le collecteur de données actuel de la SVM ‘ssup’ sera Error.

  4. Chaque fois qu'il y a un basculement, l'état du collecteur de données passe de 'en cours d'exécution' à 'erreur' et vice versa.

  5. Le collecteur de données passe de l'état erreur à l'état en cours d'exécution pendant deux minutes.

Politique de service

Si vous utilisez une stratégie de service avec ONTAP version 9.9.1 ou ultérieure, pour vous connecter au Data Source Collector, le service data-fpolicy-client est requis avec le service de données data-nfs et/ou data-cifs.

Exemple :

Testcluster-1::*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

Dans les versions ONTAP antérieures à 9.9.1, data-fpolicy-client n'a pas besoin d'être défini.

Collecteur de données Play-Pause

2 nouvelles opérations sont maintenant affichées dans le menu kebab du collecteur (PAUSE et REPRISE).

Si le Data Collector est à l'état running, vous pouvez suspendre la collection. Ouvrez le menu « trois points » du collecteur et sélectionnez PAUSE. Lorsque le collecteur est en pause, aucune donnée n'est collectée à partir de ONTAP et aucune donnée n'est envoyée du collecteur vers ONTAP. Cela signifie qu'aucun événement Fpolicy ne circule de ONTAP vers le collecteur de données, et de là vers les informations d'infrastructure de données.

Notez que si de nouveaux volumes, etc. Sont créés sur ONTAP alors que le collecteur est en pause, la sécurité des workloads ne recueillera pas les données et ces volumes, etc. Ne seront pas reflétés dans les tableaux de bord ou les tableaux.

Gardez à l'esprit les éléments suivants :

  • La suppression des snapshots ne se fera pas conformément aux paramètres configurés sur un collecteur en pause.

  • Les événements EMS (comme ONTAP ARP) ne seront pas traités sur un collecteur en pause. En d'autres termes, si identifie une attaque par ransomware, ONTAP ne pourra pas acquérir les connaissances nécessaires sur l'infrastructure de données avec Workload Security.

  • Les e-mails de notification de santé NE seront PAS envoyés pour un collecteur en pause.

  • Les actions manuelles ou automatiques (telles que instantané ou blocage utilisateur) ne sont pas prises en charge sur un collecteur en pause.

  • Lors des mises à niveau d'agent ou de collecteur, des redémarrages/redémarrages de machine virtuelle d'agent ou du redémarrage du service d'agent, un collecteur en pause restera à l'état Pause.

  • Si le collecteur de données est à l'état Error, le collecteur ne peut pas être remplacé par l'état Papersed. Le bouton Pause est activé uniquement si l'état du collecteur est running.

  • Si l'agent est déconnecté, le collecteur ne peut pas être remplacé par l'état Papersed. Le collecteur passe à l'état stopped et le bouton Pause est désactivé.

Stockage persistant

Le stockage persistant est pris en charge avec ONTAP 9.14.1 et les versions ultérieures. Notez que les instructions relatives au nom du volume varient de ONTAP 9.14 à 9.15.

Le stockage persistant peut être activé en cochant la case dans la page de modification/ajout du collecteur. Une fois la case cochée, un champ de texte permettant d'accepter le nom du volume s'affiche. Le nom du volume est un champ obligatoire pour activer le stockage permanent.

  • Pour ONTAP 9.14.1, vous devez créer le volume avant d'activer la fonction et fournir le même nom dans le champ Nom du volume. La taille de volume recommandée est de 16 Go.

  • Pour ONTAP 9.15.1, le volume sera créé automatiquement avec une taille de 16 Go par le collecteur, en utilisant le nom fourni dans le champ Nom du volume .

Des autorisations spécifiques sont requises pour le stockage permanent (certaines ou toutes ces autorisations existent peut-être déjà) :

Mode cluster :

security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster-name>
security login rest-role create -role csrestrole -api /api/cluster/jobs/ -access readonly -vserver <cluster-name>

Mode SVM :

security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <vserver-name>
security login rest-role create -role csrestrole -api /api/cluster/jobs/ -access readonly -vserver <vserver-name>

Dépannage

Reportez-vous "Dépannage du collecteur SVM"à la page pour obtenir des conseils de dépannage.