Gérez les alertes et les utilisateurs bloqués dans NetApp Ransomware Resilience
Après avoir configuré la surveillance du comportement des utilisateurs dans NetApp Ransomware Resilience, vous pouvez personnaliser les alertes et gérer les utilisateurs bloqués. La personnalisation des alertes vous permet d’exclure certains utilisateurs ou chemins de fichiers de la génération d’une alerte. Le blocage des utilisateurs est destiné à répondre aux événements liés aux ransomwares afin de prévenir toute activité malveillante de la part des utilisateurs.
Vous devez avoir "configuré un agent d'activité utilisateur, activé une stratégie avec détection d'activité utilisateur et créé un connecteur d'annuaire utilisateur" pour bloquer les utilisateurs.
|
|
Vous pouvez "automatiser les réponses" aux événements de détection d'activité utilisateur. |
Gérer les utilisateurs bloqués
Vous pouvez bloquer les utilisateurs lorsque vous pensez qu'ils sont responsables d'activités malveillantes.
-
Dans Ransomware Resilience, sélectionnez Paramètres.
-
Dans le tableau de bord Paramètres, repérez la vignette de surveillance de l'activité de l'utilisateur, puis sélectionnez Gérer.
-
Sélectionnez l’onglet Utilisateurs.
-
Sélectionnez Bloquer les utilisateurs.
-
Sélectionnez la durée du blocage : elle peut aller d’une heure à 24 heures ou être permanente.
-
Cochez la case en regard des noms des utilisateurs que vous souhaitez bloquer.
-
Sélectionnez Block.
-
Dans Ransomware Resilience, sélectionnez Paramètres.
-
Dans le tableau de bord Paramètres, repérez la vignette de surveillance de l'activité de l'utilisateur, puis sélectionnez Gérer.
-
Sélectionnez l’onglet Utilisateurs.
-
Sélectionnez Modifier le blocage des utilisateurs.
-
Choisissez la modification. Pour modifier la durée du blocage, sélectionnez Période de blocage pour les utilisateurs bloqués, puis modifiez la durée. Pour retirer des utilisateurs de la liste des utilisateurs bloqués, sélectionnez Débloquer les utilisateurs.
-
Cochez la case en regard du nom de l'utilisateur bloqué dont vous souhaitez modifier le statut.
-
Sélectionnez Enregistrer.
Exclure les utilisateurs des alertes
S'il existe certains utilisateurs de confiance dont le comportement pourrait déclencher des alertes de comportement utilisateur, vous pouvez les exclure des alertes.
-
Dans Ransomware Resilience, sélectionnez Paramètres.
-
Dans le tableau de bord Paramètres, repérez la vignette de surveillance de l'activité de l'utilisateur, puis sélectionnez Gérer.
-
Sélectionnez l'onglet Exclu de la surveillance.
-
Pour consulter les utilisateurs individuellement dans l'interface utilisateur, choisissez Select manually. Pour importer une liste d'utilisateurs exclus, sélectionnez Upload.
-
Si vous avez sélectionné Select manually, cochez la case en regard des noms des utilisateurs spécifiques que vous souhaitez exclure.
-
Si vous sélectionnez Upload, téléchargez le fichier CSV ou JSON contenant la liste de tous les utilisateurs. Sélectionnez Download pour accéder à la liste.
Sur votre ordinateur local, examinez le fichier. Supprimez les noms de tous les utilisateurs pour lesquels vous souhaitez maintenir la détection. Lorsque la liste ne contient plus que les noms des utilisateurs que vous souhaitez exclure de la détection, enregistrez-la.
Dans NetApp Ransomware Resilience, sélectionnez Téléverser. Localisez et téléversez le fichier.
-
-
Sélectionnez Ajouter pour terminer l’ajout des utilisateurs à la liste d’exclusion.
-
Dans l'onglet Exclu de la surveillance, les noms des utilisateurs retirés des alertes de détection du comportement des utilisateurs s'affichent désormais dans le tableau de bord.
|
|
Vous pouvez également exclure un utilisateur directement d'une alerte. Pour plus d'informations, consultez "Répondre aux alertes de ransomware". |
-
Dans le tableau de bord Paramètres, repérez la carte User activity puis sélectionnez Manage.
-
Sélectionnez l'onglet Exclu de la surveillance.
-
Sélectionnez Ajouter.
-
Pour exclure des utilisateurs individuels de l'interface utilisateur, choisissez Select manually.
-
Repérez le nom de l'utilisateur que vous souhaitez supprimer de la liste des utilisateurs exclus. Sélectionnez le menu d'actions (
…sur la ligne contenant le nom de l'utilisateur, puis Supprimer. -
Dans la boîte de dialogue, sélectionnez Remove pour confirmer que vous souhaitez supprimer les utilisateurs sélectionnés.
Exclure les chemins d'accès aux fichiers de la surveillance
Chaque chemin d'accès doit commencer par le nom d'un volume. Il peut inclure jusqu'à trois sous-répertoires pour ce volume, par exemple "volume/répertoire/sous-répertoire/sous-répertoire2". Vous pouvez exclure des chemins d'accès en les saisissant manuellement ou en important un fichier CSV qui les répertorie.
-
Dans Ransomware Resilience, sélectionnez Paramètres.
-
Dans la vignette de surveillance de l'activité de l'utilisateur, sélectionnez Gérer.
-
Sélectionnez l’onglet Exclu de la surveillance.
-
Sélectionnez Ajouter pour saisir les chemins d'accès aux fichiers à exclure.
-
Pour saisir les chemins d'accès aux fichiers dans l'interface utilisateur, sélectionnez le bouton radio Saisie manuelle, puis saisissez le chemin d'accès, par exemple "volume/directory/subdirectory/". Pour saisir d'autres chemins d'accès, sélectionnez Select file path.
-
Pour importer une liste de chemins de fichiers, sélectionnez l’option Importer. Sélectionnez le bouton d’importation pour choisir le fichier CSV.
-
Sélectionnez Ajouter.
Une fois l'opération terminée avec succès, NetApp Ransomware Resilience commence à exclure les fichiers situés dans les chemins sélectionnés de la surveillance des comportements suspects des utilisateurs. Vous pouvez consulter la liste des chemins à tout moment dans le menu Paramètres. Si vous devez réactiver la surveillance de ces chemins de fichiers, vous pouvez les retirer de la liste.