Skip to main content
NetApp Ransomware Resilience
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Exigences de détection de l'activité des utilisateurs pour NetApp Ransomware Resilience

Contributeurs netapp-ahibbard
PDF

NetApp Ransomware Resilience la détection du comportement des utilisateurs vous permet de répondre aux événements de ransomware au niveau de l'utilisateur. Vous devez créer un ensemble d'agents pour activer la détection du comportement des utilisateurs. Avant d'activer la détection, vous devez vous assurer que vous répondez aux exigences du système d'exploitation, du serveur et du réseau décrites afin que Ransomware Resilience puisse détecter et signaler correctement les événements.

La détection du comportement de l'utilisateur est prise en charge dans NetApp Ransomware Resilience pour les charges de travail sur les systèmes ONTAP sur site ainsi que sur Amazon FsxN for NetApp ONTAP et les systèmes Cloud Volumes ONTAP qui s'alignent avec Prise en charge du fournisseur de cloud.

Prise en charge du fournisseur de cloud

Les données relatives au comportement des utilisateurs peuvent être stockées dans AWS et Azure dans les régions suivantes :

Fournisseur de cloud Région

AWS

  • Asie-Pacifique (Sydney) (ap-sud-est-2)

  • Europe (Francfort) (eu-central-1)

  • États-Unis Est (Virginie du Nord) (us-east-1)

Azuré

Est des États-Unis

Configuration requise pour le système d'exploitation

La détection des comportements suspects des utilisateurs est prise en charge avec les systèmes d'exploitation suivants :

Système opérateur Versions prises en charge

AlmaLinux

9.4 (64 bits) à 9.5 (64 bits) et 10 (64 bits), y compris SELinux

CentOS

CentOS Stream 9 (64 bits)

Debian

11 (64 bits), 12 (64 bits), y compris SELinux

OpenSUSE Leap

15.3 (64 bits) à 15.6 (64 bits)

Oracle Linux

8.10 (64 bits) et 9.1 (64 bits) à 9.6 (64 bits), y compris SELinux

Chapeau rouge

8.10 (64 bits), 9.1 (64 bits) à 9.6 (64 bits) et 10 (64 bits), y compris SELinux

Rocheux

Rocky 9.4 (64 bits) à 9.6 (64 bits), y compris SELinux

SUSE Enterprise Linux

15 SP4 (64 bits) à 15 SP6 (64 bits), y compris SELinux

Ubuntu

20.04 LTS (64 bits), 22.04 LTS (64 bits) et 24.04 LTS (64 bits)
Remarque L’ordinateur que vous utilisez pour l’agent d’activité de l’utilisateur ne doit pas exécuter d’autres logiciels au niveau de l’application. Un serveur dédié est recommandé.

Le unzip Cette commande est requise pour l'installation. Le sudo su - Cette commande est nécessaire pour l'installation, l'exécution des scripts et la désinstallation.

Configuration requise pour le serveur

Le serveur doit répondre aux exigences minimales suivantes :

  • Processeur : 4 cœurs

  • RAM : 16 Go de RAM

  • Espace disque : 36 Go d’espace disque libre

Recommandations serveur

  • Allouez de l'espace disque supplémentaire pour permettre la création du système de fichiers. Assurez-vous qu'il y a au moins 35 Go d'espace libre dans le système de fichiers. + Si /opt Il s'agit d'un dossier monté depuis un stockage NAS ; les utilisateurs locaux doivent avoir accès à ce dossier. La création de l'agent d'activité utilisateur peut échouer si les utilisateurs locaux ne disposent pas des autorisations nécessaires.

  • Il est recommandé d’installer l’agent d’activité utilisateur sur un système distinct de votre environnement NetApp Ransomware Resilience. Si vous les installez sur la même machine, vous devez prévoir 50 à 55 Go d’espace disque. Pour Linux, allouez 25 à 30 Go d’espace à /opt/netapp et 25 Go à var/log/netapp.

  • Il est recommandé de synchroniser l'heure à la fois sur le système ONTAP et sur la machine de l'agent d'activité utilisateur à l'aide du protocole NTP (Network Time Protocol) ou du protocole SNTP (Simple Network Time Protocol).

Recommandations de dimensionnement

Lors de la collecte d'événements utilisateur, assurez-vous que la machine hébergeant l'agent d'activité utilisateur est dimensionnée pour supporter votre débit d'événements. Cela signifie que vous devez disposer d'un nombre suffisant de collecteurs de données ainsi que d'un CPU et d'une RAM suffisants sur la machine hébergeant l'agent d'activité utilisateur pour tolérer le nombre d'événements par seconde. Pour augmenter le nombre de collecteurs de données, il peut être nécessaire d'augmenter la capacité de la RAM ou du CPU. Ransomware Resilience prend en charge jusqu'à 50 collecteurs de données par agent d'activité utilisateur.

Le tableau suivant fournit des indications générales pour le dimensionnement :

Configuration de la machine de l'agent d'activité utilisateur Nombre de collecteurs de données Taux d'événements maximal

4 cœurs, 16 Go

10 collecteurs de données

20 000 événements/seconde

4 cœurs, 32 Go

20 collecteurs de données

20 000 événements/seconde

Vous pouvez également calculer vos besoins spécifiques. Pour déterminer la taille appropriée, il est recommandé d'appliquer une marge de sécurité de 30 %. Utilisez cette formule pour vérifier si votre configuration peut supporter la charge.

Where E is the sum of all events per second across all data collectors:

E + (0.3 x E) < 20,000 events/second
Ransomware Resilience propose un script pour calculer le débit de données d'événements. Découvrez comment calculer le débit de données d'événements dans Ransomware Resilience.

Ransomware Resilience fournit un script que vous pouvez exécuter sur votre système pour calculer le débit de données d'événements. Par défaut, le script s'exécute pour un maximum de cinq machines virtuelles de stockage. Si votre environnement comprend plus de 5 SVM, vous pouvez modifier le script en conséquence. Quel que soit le nombre de SVM, le script prend environ cinq minutes pour obtenir une lecture moyenne du débit d'événements. Avant d'exécuter le script, vous devez avoir :

  • "Agent d'activité utilisateur configuré"

  • L'adresse IP du cluster

  • Nom d'utilisateur et mot de passe de l'administrateur du cluster

  • Installé sshpass sur la machine Linux (vous pouvez l’installer avec la commande sudo yum install -y sshpass)

Étapes

  1. Depuis le cluster hébergeant l'agent d'activité utilisateur, exécutez le script en tant qu'administrateur : /opt/netapp/cloudsecure/agent/install/svm_event_rate_checker.sh

  2. Lorsque vous y êtes invité, fournissez l'adresse IP du cluster, le nom d'utilisateur admin et le mot de passe admin.

  3. L'exécution du script prend environ cinq minutes. Une fois terminée, la ligne de commandes affiche le taux d'événements, par exemple "Svm svm_rate is generating 100 events/sec."

    Utilisez le taux d'événements pour calculer votre dimensionnement.

règles d'accès au réseau cloud

Veuillez consulter les règles d'accès au réseau cloud pour votre zone géographique concernée (Asie-Pacifique, Europe ou États-Unis).

Important Lors de l'installation initiale, remplacez le <site_name> par une autorisation de caractère générique (*. Après que l'agent est activé et pleinement opérationnel, vous pouvez remplacer l'autorisation par le nom du site. Contactez votre représentant NetApp pour le nom du site.
Remarque L'agent d'activité utilisateur utilise la technologie NetApp Data Insights Infrastructure, d'où l'utilisation de points de terminaison cloudinsights. Pour plus d'informations, consultez

Déploiements d'agents d'activité utilisateur basés en APAC

Protocole Port Source Destination Description

HTTPS (TCP)

443

Agent d'activité utilisateur

  • <site_name>.cs01-ap-1.cloudinsights.netapp.com

  • <site_name>.c01-ap-1.cloudinsights.netapp.com

  • <site_name>.c02-ap-1.cloudinsights.netapp.com

  • gentlogin.cs01-ap-1.cloudinsights.netapp.com

Accès à la résilience face aux ransomwares

Déploiements d'agents d'activité utilisateur basés en Europe

Protocole Port Source Destination Description

HTTPS (TCP)

443

Agent d'activité utilisateur

  • <site_name>.cs01-eu-1.cloudinsights.netapp.com

  • <site_name>.c01-eu-1.cloudinsights.netapp.com

  • <site_name>.c02-eu-1.cloudinsights.netapp.com

  • agentlogin.cs01-eu-1.cloudinsights.netapp.com

Accès à la résilience face aux ransomwares

Déploiements d'agents d'activité utilisateur basés aux États-Unis

Protocole Port Source Destination Description

HTTPS (TCP)

443

Agent d'activité utilisateur

  • <site_name>.cs01.cloudinsights.netapp.com

  • <site_name>.c01.cloudinsights.netapp.com

  • <site_name>.c02.cloudinsights.netapp.com

  • agentlogin.cs01.cloudinsights.netapp.com

Accès à la résilience face aux ransomwares

Règles du réseau

Protocole Port Source Destination Description

TCP

389 (LDAP) 636 (LDAP / start-tls)

Agent d'activité utilisateur

URL du serveur LDAP

Se connecter à LDAP

HTTPS (TCP)

443

Agent d'activité utilisateur

Adresse IP de gestion du cluster ou de la SVM (selon la configuration du collecteur SVM)

Communication API avec ONTAP

TCP

35000 - 55000

Données SVM Adresses IP LIF

Agent d'activité utilisateur

Communication d' ONTAP à l'agent d'activité utilisateur pour les événements Fpolicy. Ces ports doivent être ouverts vers l'agent d'activité utilisateur pour ONTAP puisse lui envoyer des événements, y compris tout pare-feu sur l'agent d'activité utilisateur lui-même (le cas échéant). REMARQUE : Vous n’avez pas besoin de réserver tous ces ports, mais les ports que vous réservez doivent se situer dans cette plage. Il est recommandé de commencer par réserver 100 ports et d'augmenter ce nombre si nécessaire.

TCP

35000-55000

IP de gestion de cluster

Agent d'activité utilisateur

Communication de l'adresse IP de gestion du cluster ONTAP à l'agent d'activité utilisateur pour les événements EMS. Ces ports doivent être ouverts vers l'agent d'activité utilisateur pour ONTAP puisse lui envoyer des événements EMS, y compris tout pare-feu sur l'agent d'activité utilisateur lui-même. REMARQUE : Vous n’avez pas besoin de réserver tous ces ports, mais les ports que vous réservez doivent se situer dans cette plage. Il est recommandé de commencer par réserver 100 ports et d'augmenter ce nombre si nécessaire.

SSH

22

Agent d'activité utilisateur

Gestion des clusters

Nécessaire pour le blocage des utilisateurs CIFS/SMB.

Étape suivante