Skip to main content
NetApp Ransomware Resilience
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer la détection de l'activité des utilisateurs dans NetApp Ransomware Resilience

Contributeurs netapp-ahibbard

NetApp Ransomware Resilience détection du comportement des utilisateurs vous aide à prévenir les événements de ransomware au niveau utilisateur. Pour activer la détection du comportement des utilisateurs dans Ransomware Resilience, vous devez installer au moins un agent d'activité utilisateur, qui crée un environnement de collecte de données pour surveiller le comportement des utilisateurs à la recherche de schémas aberrants ressemblant à des événements de ransomware.

Un agent d'activité utilisateur héberge un collecteur de données et un connecteur d'annuaire utilisateur, qui envoient tous deux des données vers un emplacement SaaS pour analyse.

  • Le collecteur de données recueille les données d'activité des utilisateurs depuis ONTAP. Le collecteur de données est créé automatiquement lorsque vous créez une stratégie de protection avec détection du comportement des utilisateurs.

  • Le connecteur d'annuaire utilisateur se connecte à votre annuaire pour associer les identifiants utilisateur aux noms d'utilisateur. Vous devez configurer le connecteur d'annuaire utilisateur.

L'agent d'activité utilisateur, le collecteur de données et le connecteur d'annuaire utilisateur peuvent tous être gérés depuis le tableau de bord des paramètres de NetApp Ransomware Resilience.

Remarque Si vous utilisez déjà NetApp Data Infrastructure Insights (DII) Workload Security, il est recommandé d'utiliser les mêmes agents Workload Security pour Ransomware Resilience. Il n'est pas nécessaire de déployer des agents Workload Security distincts pour Ransomware Resilience, cependant, l'utilisation des mêmes agents Workload Security nécessite une relation de couplage entre l'organisation de la Ransomware Resilience Console et le locataire DII Storage Workload Security. Contactez votre responsable de compte pour activer ce couplage.

Si vous n'utilisez pas DII, suivez les instructions de configuration ici.

Avant de commencer

Rôle Console requis Pour activer la détection du comportement des utilisateurs, vous devez disposer du rôle d'administrateur de l'organisation. Pour les configurations ultérieures de la détection du comportement des utilisateurs, vous devez disposer du rôle d'administrateur du comportement des utilisateurs de Ransomware Resilience. "En savoir plus sur les rôles de résilience aux ransomwares pour la NetApp Console".

Assurez-vous que chaque rôle est appliqué au niveau de l'organisation.

Créer un agent d'activité utilisateur

Les agents d'activité utilisateur sont des environnements exécutables pour "collecteurs de données" ; les collecteurs de données partagent les événements d'activité utilisateur avec Ransomware Resilience. Vous devez créer au moins un agent d'activité utilisateur pour activer la détection de l'activité utilisateur.

Étapes
  1. Si c'est la première fois que vous créez un agent d'activité utilisateur, accédez au Tableau de bord. Dans la mosaïque Activité utilisateur, sélectionnez Activer.

    Si vous ajoutez un agent d'activité utilisateur supplémentaire, accédez à Paramètres, recherchez la vignette Activité utilisateur, puis sélectionnez Gérer. Sur l'écran Activité utilisateur, sélectionnez l'onglet Agents d'activité utilisateur puis Ajouter.

  2. Sélectionnez un fournisseur Cloud puis une région. Sélectionnez Suivant.

  3. Fournissez les détails de l’agent d’activité de l’utilisateur :

    • Nom de l'agent d'activité utilisateur

    • Agent de console - L'agent de console doit se trouver sur le même réseau que l'agent d'activité utilisateur et disposer d'une connectivité SSH à l'adresse IP de l'agent d'activité utilisateur.

    • Nom DNS ou adresse IP de la VM

    • Clé SSH de la VM - Saisissez la clé SSH au format suivant :

      -----BEGIN OPENSSH PRIVATE KEY-----
      private-key-contents
      -----END OPENSSH PRIVATE KEY-----

      Capture d'écran de l'interface d'ajout d'agent d'activité.

  4. Sélectionnez Suivant.

  5. Vérifiez vos paramètres. Sélectionnez Activer pour terminer l’ajout de l’agent d’activité utilisateur.

  6. Vérifiez que l'agent d'activité utilisateur a bien été créé. Dans la vignette de surveillance de l'activité utilisateur, un déploiement réussi s'affiche comme En cours d'exécution.

Résultat

Une fois l'agent d'activité utilisateur créé avec succès, retournez dans le menu Paramètres puis sélectionnez Gérer dans la tuile « Surveillance de l'activité utilisateur ». Sélectionnez l'onglet Agents d'activité utilisateur, puis sélectionnez l'agent d'activité utilisateur pour afficher les détails le concernant, y compris les collecteurs de données et les connecteurs d'annuaire utilisateur.

Ajouter un collecteur de données

Des collecteurs de données sont créés automatiquement lorsque vous activez une stratégie de protection contre les ransomwares avec détection de l'activité de l'utilisateur. Pour plus d'informations, consultez "ajouter une politique de détection".

Vous pouvez consulter les détails du collecteur de données. Dans les Paramètres, sélectionnez Gérer dans la section Surveillance de l'activité utilisateur. Sélectionnez l'onglet Collecteur de données, puis sélectionnez le collecteur de données pour afficher ses détails ou le suspendre.

Capture d'écran des paramètres d'activité utilisateur.

Créer un connecteur d'annuaire utilisateur

Pour mapper les ID utilisateur aux noms d’utilisateur, vous devez créer un connecteur d’annuaire utilisateur.

Étapes
  1. Dans Ransomware Resilience, accédez à Paramètres.

  2. Dans la vignette de surveillance de l'activité de l'utilisateur, sélectionnez Gérer.

  3. Sélectionnez l'onglet Connecteurs d'annuaire utilisateur puis Ajouter.

  4. Configurez la connexion. Saisissez les informations requises pour chaque champ.

    Champ Description

    Nom

    Saisissez un nom unique pour le connecteur d'annuaire utilisateur

    Type de répertoire utilisateur

    Le type de répertoire

    Adresse IP du serveur ou nom de domaine

    L'adresse IP ou le nom de domaine pleinement qualifié (FQDN) du serveur hébergeant la connexion

    Nom de la forêt ou nom de recherche

    Vous pouvez spécifier le niveau de forêt de la structure de répertoires comme nom de domaine direct (par exemple, unit.company.com) ou un ensemble de noms distinctifs relatifs (par exemple : DC=unit,DC=company,DC=com). Vous pouvez également saisir un OU filtrer par unité organisationnelle ou par un CN limiter à un utilisateur spécifique (par exemple : CN=user,OU=engineering,DC=unit,DC=company,DC=com).

    BIND DN

    Le DN BIND est un compte utilisateur autorisé à effectuer des recherches dans l'annuaire, tel que utilisateur@domaine.com. L'utilisateur doit disposer de l'autorisation « Lecture seule du domaine ».

    Mot de passe BIND

    Le mot de passe de l'utilisateur a été fourni dans BIND DN

    Protocole

    Le champ protocole est facultatif. Vous pouvez utiliser LDAP, LDAPS ou LDAP sur StartTLS.

    Port

    Saisissez le numéro de port que vous avez choisi

    Capture d'écran de la connexion au répertoire utilisateur

    Fournissez les détails du mappage des attributs :

    • Nom d'affichage

    • SID (si vous utilisez LDAP)

    • Nom d'utilisateur

    • ID Unix (si vous utilisez NFS)

    • Si vous sélectionnez Inclure les attributs facultatifs, vous pouvez également ajouter une adresse e-mail, un numéro de téléphone, un rôle, un état, un pays, un département, une photo, un DN de responsable ou des groupes. Sélectionnez Avancé pour ajouter une requête de recherche facultative.

  5. Sélectionnez Ajouter.

  6. Revenez à l’onglet Connecteurs d’annuaire utilisateur pour vérifier l’état de votre connecteur d’annuaire utilisateur. Si la création est réussie, l'état du connecteur d'annuaire utilisateur s'affiche comme En cours d'exécution.

Supprimer un connecteur d'annuaire utilisateur

Étapes
  1. Dans NetApp Ransomware Resilience, sélectionnez Paramètres.

  2. Localisez la vignette User activity monitoring, puis sélectionnez Manage.

  3. Sélectionnez l’onglet Connecteur d’annuaire utilisateur.

  4. Identifiez le connecteur d’annuaire utilisateur que vous souhaitez supprimer. Dans le menu d'action en fin de ligne, sélectionnez les trois points …​ puis Supprimer.

  5. Dans la boîte de dialogue contextuelle, sélectionnez Supprimer pour confirmer.

Répondre aux alertes d'activité des utilisateurs

Une fois la détection de l'activité des utilisateurs configurée, vous pouvez suivre les événements sur la page des alertes. Pour plus d'informations, voir "Détecter les activités malveillantes et les comportements suspects des utilisateurs".