Découvrez la détection de l'activité des utilisateurs dans NetApp Ransomware Resilience
Suggérer des modifications
PDF
Grâce à la détection de l'activité de l'utilisateur, NetApp Ransomware Resilience vous permet de gérer les incidents liés aux ransomwares au niveau de l'utilisateur, en stoppant des événements tels que les violations de données et les suppressions à grande échelle.
NetApp Ransomware Resilience fournit une détection basée sur l’IA et une surveillance des comportements utilisateurs suspects. Les augmentations soudaines de l’activité de lecture ou les schémas d’accès inhabituels sont utilisées pour déterminer une intention malveillante. Une fois détecté, Ransomware Resilience génère automatiquement des alertes dans la NetApp Console, par e-mail et dans tout écosystème de sécurité configuré (par exemple, SIEM).
Grâce à la détection et à l'alerte comportementales des utilisateurs, NetApp Ransomware Resilience vous avertit des tentatives de violation et de destruction de données, ainsi que des schémas suspects. Dans chaque alerte, NetApp Ransomware Resilience identifie un utilisateur que vous pouvez bloquer.
Ransomware Resilience détecte l'activité suspecte des utilisateurs en analysant les événements d'activité des utilisateurs générés par FPolicy dans ONTAP. Pour collecter des données d’activité utilisateur, vous devez déployer un ou plusieurs agents d’activité utilisateur. L'agent est un serveur Linux ou une machine virtuelle avec connectivité aux appareils de votre locataire.
|
La détection de l'activité des utilisateurs n'est actuellement pas prise en charge pour les charges de travail SAN. Vous pouvez utiliser la détection de l'activité des utilisateurs avec les charges de travail NAS dans Amazon FSxN for ONTAP, Cloud Volumes ONTAP et ONTAP. |
Analyse forensique de l'activité des utilisateurs
Ransomware Resilience propose une analyse forensique des comportements des utilisateurs : listes et graphiques montrant quand une activité suspecte a eu lieu et quand des notifications ont été envoyées. Ces éléments détaillent la fréquence des activités suspectes sur les fichiers, répertoires, volumes et charges de travail au fil du temps pour aider à retracer les événements. Vous pouvez également observer l’apparition de nouvelles extensions de fichiers.
.
Vous pouvez comparer l'activité suspecte avec une vue de toute l'activité. Dans la vue de toute l'activité, vous pouvez observer les événements de lecture, d'écriture, de renommage, de déplacement, de création et de suppression, en plus des événements de modification d'accès et d'accès refusé.
.
Composants
La détection du comportement de l'utilisateur dans NetApp Ransomware Resilience comporte trois composantes clés.
-
L’agent d’activité utilisateur est un environnement d’exécution pour les collecteurs de données. Vous devez configurer l’agent d’activité utilisateur.
-
Le collecteur de données partage les événements d'activité des utilisateurs avec Ransomware Resilience. Le collecteur de données est créé automatiquement lorsque vous "mettre en œuvre une stratégie de protection contre les ransomwares grâce à la détection du comportement de l'utilisateur".
-
Le connecteur d'annuaire utilisateur permet d'associer les noms d'utilisateur aux identifiants d'utilisateur, créant une plus grande clarté lors de la réponse à un comportement utilisateur suspect. Vous devez configurer le connecteur d'annuaire utilisateur.
Ransomware Resilience et Data Infrastructure Insights
La détection du comportement des utilisateurs dans Ransomware Resilience est une intégration avec Data Infrastructure Insights (DII) Workload Security et utilise "Points de terminaison DII". Vous n'avez besoin d'aucune configuration DII pour activer la détection du comportement des utilisateurs dans Ransomware Resilience. Pour activer la détection du comportement des utilisateurs, "créez l’agent et les collecteurs requis et activez la stratégie de protection contre les ransomwares appropriée".
Si vous utilisez déjà NetApp Data Infrastructure Insights (DII) Workload Security, il est recommandé d'utiliser les mêmes agents Workload Security pour Ransomware Resilience. Il n'est pas nécessaire de déployer des agents Workload Security distincts pour Ransomware Resilience, cependant, l'utilisation des mêmes agents Workload Security nécessite une relation de couplage entre l'organisation de la Ransomware Resilience Console et le locataire DII Storage Workload Security. Contactez votre responsable de compte pour activer ce couplage.