Skip to main content
NetApp Ransomware Resilience
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Requisiti di rilevamento delle attività degli utenti per NetApp Ransomware Resilience

Collaboratori netapp-ahibbard
PDF

NetApp Ransomware Resilience il rilevamento del comportamento utente consente di rispondere agli eventi ransomware a livello utente. È necessario creare un set di agenti per abilitare il rilevamento del comportamento utente. Prima di abilitare il rilevamento, è necessario assicurarsi di soddisfare i requisiti di sistema operativo, server e rete indicati, in modo che Ransomware Resilience possa rilevare e segnalare correttamente gli eventi.

Il rilevamento del comportamento dell'utente è supportato in Ransomware Resilience per i carichi di lavoro nei sistemi ONTAP on-premises, così come in Amazon FsxN per NetApp ONTAP e Cloud Volumes ONTAP che sono allineati con Supporto del cloud provider.

Supporto del cloud provider

I dati relativi al comportamento degli utenti possono essere archiviati in AWS e Azure nelle seguenti regioni:

Fornitore di cloud Regione

AWS

  • Asia Pacifico (Sydney) (ap-southeast-2)

  • Europa (Francoforte) (eu-central-1)

  • Stati Uniti orientali (Virginia settentrionale) (us-east-1)

Azzurro

Stati Uniti orientali

Requisiti del sistema operativo

Il rilevamento di comportamenti sospetti degli utenti è supportato con i seguenti sistemi operativi:

Sistema operativo Versioni supportate

AlmaLinux

Da 9.4 (64 bit) a 9.5 (64 bit) e 10 (64 bit), incluso SELinux

CentOS

CentOS Stream 9 (64 bit)

Debian

11 (64 bit), 12 (64 bit), incluso SELinux

OpenSUSE Leap

Da 15.3 (64 bit) a 15.6 (64 bit)

Oracle Linux

8.10 (64 bit) e 9.1 (64 bit) fino a 9.6 (64 bit), incluso SELinux

Cappello rosso

8.10 (64 bit), 9.1 (64 bit) fino a 9.6 (64 bit) e 10 (64 bit), incluso SELinux

Roccioso

Rocky 9.4 (64 bit) fino a 9.6 (64 bit), incluso SELinux

SUSE Enterprise Linux

15 SP4 (64 bit) fino a 15 SP6 (64 bit), incluso SELinux

Ubuntu

20.04 LTS (64 bit), 22.04 LTS (64 bit) e 24.04 LTS (64 bit)
Nota L’ordinateur que vous utilisez pour l’agent d’activité de l’utilisateur ne doit pas exécuter d’autres logiciels au niveau de l’application. Si consiglia un server dedicato.

IL unzip il comando è necessario per l'installazione. IL sudo su - Il comando è necessario per l'installazione, l'esecuzione degli script e la disinstallazione.

Requisiti del server

Il server deve soddisfare i seguenti requisiti minimi:

  • CPU: 4 core

  • RAM: 16 GB di RAM

  • Spazio su disco: 36 GB di spazio libero su disco

Raccomandazioni per il server

  • Assegnare spazio extra sul disco per consentire la creazione del file system. Assicurarsi che ci siano almeno 35 GB di spazio libero nel file system. + Se /opt è una cartella montata da un archivio NAS, gli utenti locali devono avere accesso a questa cartella. La creazione dell'agente di attività utente può fallire se gli utenti locali non dispongono delle autorizzazioni necessarie.

  • Si consiglia di installare l'agente di attività utente su un sistema separato dall'ambiente Ransomware Resilience. Se si installano entrambi sulla stessa macchina, è necessario prevedere da 50 a 55 GB di spazio su disco. Per Linux, allocare 25-30 GB di spazio a /opt/netapp e 25 GB a var/log/netapp.

  • Si consiglia di sincronizzare l'ora sia sul sistema ONTAP sia sulla macchina dell'agente di attività utente utilizzando il protocollo NTP (Network Time Protocol) o il protocollo SNTP (Simple Network Time Protocol).

Raccomandazioni sulle dimensioni

Quando si raccolgono gli eventi utente, assicurarsi che la macchina che ospita l'agente di attività utente sia dimensionata per gestire la frequenza degli eventi. Ciò significa assicurarsi di disporre di un numero sufficiente di data collector e di una quantità di CPU e RAM sufficiente sulla macchina che ospita l'agente di attività utente per tollerare il numero di eventi al secondo. Per aumentare il numero di data collector, potrebbe essere necessario aumentare la capacità di RAM o CPU. Ransomware Resilience supporta fino a 50 data collector per agente di attività utente.

La tabella seguente fornisce indicazioni generali per il dimensionamento:

Configurazione della macchina dell'agente di attività utente Numero di raccoglitori di dati Frequenza massima degli eventi

4 core, 16GB

10 raccoglitori di dati

20.000 eventi/secondo

4 core, 32GB

20 raccoglitori di dati

20.000 eventi/secondo

È inoltre possibile calcolare i requisiti specifici. Nel calcolo delle dimensioni appropriate, si consiglia di considerare un margine di sicurezza del 30%. Utilizzare questa formula per determinare se la configurazione è in grado di gestire il carico.

Where E is the sum of all events per second across all data collectors:

E + (0.3 x E) < 20,000 events/second
Ransomware Resilience fornisce uno script per calcolare la velocità di trasmissione dei dati degli eventi. Scopri come calcolare la velocità di trasmissione dei dati degli eventi in Ransomware Resilience.

Ransomware Resilience fornisce uno script che è possibile eseguire sul sistema per calcolare la frequenza dei dati degli eventi. Per impostazione predefinita, lo script viene eseguito per un massimo di cinque macchine virtuali di archiviazione (SVM). Se l'ambiente include più di 5 SVM, è possibile modificare lo script di conseguenza. Indipendentemente dal numero di SVM, lo script impiega circa cinque minuti per ottenere una lettura media della frequenza degli eventi. Prima di eseguire lo script è necessario disporre di:

  • "Configurato un agente di attività utente"

  • L'indirizzo IP del cluster

  • Nome utente e password dell'amministratore del cluster

  • Installato sshpass sulla macchina Linux (è possibile installarlo con il comando sudo yum install -y sshpass)

Passi

  1. Dal cluster che ospita l'agente di attività utente, eseguire lo script come amministratore: /opt/netapp/cloudsecure/agent/install/svm_event_rate_checker.sh

  2. Quando richiesto, fornire l'indirizzo IP del cluster, il nome utente dell'amministratore e la password dell'amministratore.

  3. L'esecuzione dello script richiede circa cinque minuti. Al termine, la riga di comando visualizza la frequenza degli eventi, ad esempio "Svm svm_rate sta generando 100 eventi/sec."

    Utilizza la frequenza degli eventi per calcolare le dimensioni.

Regole di accesso alla rete cloud

Esamina le regole di accesso alla rete cloud per la tua area geografica di riferimento (Asia Pacifico, Europa o Stati Uniti).

Importante Durante l'installazione iniziale, sostituire l' <site_name> con un'autorizzazione con carattere jolly (*). Dopo che l'agente è attivato e completamente operativo, è possibile sostituire l'autorizzazione con il nome del sito. Contattare il proprio rappresentante NetApp per il nome del sito.
Nota L'agente di attività utente utilizza NetApp Data Insights Infrastructure technology, da cui l'utilizzo di cloudinsights endpoints. Per ulteriori informazioni, vedere

Distribuzioni di agenti di attività utente con sede in APAC

Protocollo Porta Fonte Destinazione Descrizione

HTTPS (TCP)

443

Agente di attività dell'utente

  • <site_name>.cs01-ap-1.cloudinsights.netapp.com

  • <site_name>.c01-ap-1.cloudinsights.netapp.com

  • <site_name>.c02-ap-1.cloudinsights.netapp.com

  • gentlogin.cs01-ap-1.cloudinsights.netapp.com

Accesso alla resilienza del ransomware

Distribuzioni di agenti di attività utente con sede in Europa

Protocollo Porta Fonte Destinazione Descrizione

HTTPS (TCP)

443

Agente di attività dell'utente

  • <site_name>.cs01-eu-1.cloudinsights.netapp.com

  • <site_name>.c01-eu-1.cloudinsights.netapp.com

  • <site_name>.c02-eu-1.cloudinsights.netapp.com

  • agentlogin.cs01-eu-1.cloudinsights.netapp.com

Accesso alla resilienza del ransomware

Distribuzioni di agenti di attività utente con sede negli Stati Uniti

Protocollo Porta Fonte Destinazione Descrizione

HTTPS (TCP)

443

Agente di attività dell'utente

  • <site_name>.cs01.cloudinsights.netapp.com

  • <site_name>.c01.cloudinsights.netapp.com

  • <site_name>.c02.cloudinsights.netapp.com

  • agentlogin.cs01.cloudinsights.netapp.com

Accesso alla resilienza del ransomware

Regole in-network

Protocollo Porta Fonte Destinazione Descrizione

TCP

389 (LDAP) 636 (LDAP / start-tls)

Agente di attività dell'utente

URL del server LDAP

Connettiti a LDAP

HTTPS (TCP)

443

Agente di attività dell'utente

Indirizzo IP di gestione del cluster o SVM (a seconda della configurazione del collettore SVM)

Comunicazione API con ONTAP

TCP

35000 - 55000

Indirizzi IP LIF dei dati SVM

Agente di attività dell'utente

Comunicazione da ONTAP all'agente di attività dell'utente per gli eventi Fpolicy. Queste porte devono essere aperte verso l'agente di attività utente affinché ONTAP possa inviargli eventi, incluso qualsiasi firewall sull'agente di attività utente stesso (se presente). + NOTA: Non è necessario riservare tutte queste porte, ma le porte riservate a questo scopo devono essere comprese in questo intervallo. Si consiglia di iniziare riservando 100 porte e di aumentarle se necessario.

TCP

35000-55000

IP di gestione del cluster

Agente di attività dell'utente

Comunicazione dall'IP di gestione del cluster ONTAP all'agente di attività dell'utente per eventi EMS. Queste porte devono essere aperte verso l'agente di attività utente affinché ONTAP possa inviargli eventi EMS, incluso qualsiasi firewall sull'agente di attività utente stesso. + NOTA: Non è necessario riservare tutte queste porte, ma le porte riservate a questo scopo devono essere comprese in questo intervallo. Si consiglia di iniziare riservando 100 porte e di aumentarle se necessario.

SSH

22

Agente di attività dell'utente

Gestione dei cluster

Necessario per il blocco degli utenti CIFS/SMB.

Passaggio successivo