Skip to main content
NetApp Ransomware Resilience
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare agenti e collettori per il rilevamento delle attività degli utenti in NetApp Ransomware Resilience

Collaboratori netapp-ahibbard
PDF

NetApp Ransomware Resilience rilevamento dell'attività utente aiuta a prevenire eventi ransomware a livello utente. Per abilitare il rilevamento di comportamenti sospetti degli utenti in Ransomware Resilience, è necessario installare almeno un agente di attività utente, che crea un ambiente di raccolta di dati per monitorare il comportamento degli utenti alla ricerca di modelli anomali che assomigliano a eventi ransomware.

Un agente di attività utente ospita un raccoglitore di dati e un connettore di directory utente, che inviano entrambi i dati a una posizione SaaS per l'analisi.

  • Il collettore dati raccoglie i dati sull'attività degli utenti da ONTAP. Il collettore dati viene creato automaticamente quando si crea una strategia di protezione con rilevamento del comportamento degli utenti.

  • Il connettore directory utente si connette alla tua directory per mappare gli ID utente ai nomi utente. Devi configurare il connettore directory utente.

L'agente di attività utente, il data collector e il connettore della user directory possono essere tutti gestiti dalla dashboard delle impostazioni di Ransomware Resilience.

Nota Se stai già utilizzando NetApp Data Infrastructure Insights (DII) Workload Security, è consigliato utilizzare gli stessi agenti Workload Security per Ransomware Resilience. Non è necessario distribuire agenti Workload Security separati per Ransomware Resilience, tuttavia, l'utilizzo degli stessi agenti Workload Security richiede una relazione di associazione tra l'organizzazione Ransomware Resilience Console e il tenant DII Storage Workload Security. Contatta il tuo rappresentante di account per abilitare questa associazione.

+ Se non stai utilizzando DII, procedi con le istruzioni di configurazione qui.

Prima di iniziare

Ruolo Console obbligatorio Per attivare il rilevamento di attività utente sospette, è necessario il ruolo Organization admin role. Per le successive configurazioni di attività utente sospette, è necessario il ruolo Ransomware Resilience user behavior admin role. "Scopri di più sui ruoli di Ransomware Resilience per NetApp Console".

Assicurarsi che ogni ruolo venga applicato a livello di organizzazione.

Creare un agente di attività utente

Gli agenti di attività utente sono ambienti eseguibili per "raccoglitori di dati"; i raccoglitori di dati condividono gli eventi di attività utente con Ransomware Resilience. È necessario creare almeno un agente di attività utente per abilitare il rilevamento di attività utente sospette.

Passi

  1. Se è la prima volta che crei un agente di attività utente, vai alla Dashboard. Nel riquadro Attività utente, seleziona Attiva.

    Se vuoi aggiungere un ulteriore agente di attività utente, vai su Impostazioni, individua il riquadro Attività utente, quindi seleziona Gestisci. Nella schermata Attività utente, seleziona la scheda Agenti attività utente, quindi Aggiungi.

  2. Seleziona un fornitore cloud, quindi una regione. Selezionare Avanti.

  3. Fornire i dettagli dell'agente di attività dell'utente:

    • Nome dell'agente di attività dell'utente

    • Agente console - L'agente console deve trovarsi nella stessa rete dell'agente di attività utente e disporre di connettività SSH all'indirizzo IP dell'agente di attività utente.

    • Nome DNS o indirizzo IP della VM

    • Chiave SSH VM - Inserisci la chiave SSH utilizzando questo formato:

      -----BEGIN OPENSSH PRIVATE KEY-----
private-key-contents
-----END OPENSSH PRIVATE KEY-----

      Screenshot dell'interfaccia dell'agente di aggiunta attività.

  4. Selezionare Avanti.

  5. Rivedi le tue impostazioni. Selezionare Attiva per completare l'aggiunta dell'agente di attività utente.

  6. Conferma che l'agente di attività utente è stato creato correttamente. Nel riquadro Attività utente, una distribuzione riuscita viene visualizzata come Running.

Risultato

Dopo che l'agente di attività utente è stato creato correttamente, torna al menu Impostazioni e seleziona Gestisci nel riquadro Attività utente. Seleziona la scheda Agenti di attività utente e poi seleziona l'agente di attività utente per visualizzare i dettagli relativi, inclusi i collettori di dati e i connettori della directory utente.

Aggiungi un raccoglitore di dati

I collettori di dati vengono creati automaticamente quando si attiva una strategia di protezione dal ransomware con rilevamento di attività sospette degli utenti. Per ulteriori informazioni, vedere "aggiungere una politica di rilevamento".

È possibile visualizzare i dettagli del raccoglitore dati. Da Impostazioni, seleziona Gestisci nel riquadro Attività utente. Selezionare la scheda Raccolta dati, quindi selezionare la raccolta dati per visualizzarne i dettagli o metterla in pausa.

Screenshot delle impostazioni dell'attività utente.

Crea un connettore di directory utente

Per mappare gli ID utente ai nomi utente, è necessario creare un connettore di directory utente.

Passi

  1. In Ransomware Resilience, vai su Impostazioni.

  2. Nel riquadro Attività utente, seleziona Gestisci.

  3. Selezionare la scheda Connettori directory utente, quindi Aggiungi.

  4. Configurare la connessione. Inserisci le informazioni richieste per ogni campo.

    Campo Descrizione

    Nome

    Inserisci un nome univoco per il connettore della directory utente

    Tipo di directory utente

    Il tipo di directory

    Indirizzo IP del server o nome di dominio

    L'indirizzo IP o il nome di dominio completo (FQDN) del server che ospita la connessione

    Nome della foresta o nome della ricerca

    È possibile specificare il livello di foresta della struttura della directory come nome di dominio diretto (ad esempio unit.company.com) o un insieme di nomi distinti relativi (ad esempio: DC=unit,DC=company,DC=com). Puoi anche inserire un OU per filtrare per unità organizzativa o per CN per limitare a un utente specifico (ad esempio: CN=user,OU=engineering,DC=unit,DC=company,DC=com).

    LEGA DN

    Il BIND DN è un account utente autorizzato a effettuare ricerche nella directory, ad esempio utente@dominio.com. L'utente necessita dell'autorizzazione di sola lettura del dominio.

    Password BIND

    La password per l'utente fornita in BIND DN

    Protocollo

    Il campo protocollo è facoltativo. È possibile utilizzare LDAP, LDAPS o LDAP su StartTLS.

    Porta

    Inserisci il numero di porta scelto

    Screenshot della connessione alla directory utente

    Fornire i dettagli della mappatura degli attributi:

    • Nome da visualizzare

    • SID (se si utilizza LDAP)

    • Nome utente

    • ID Unix (se stai utilizzando NFS)

    • Se selezioni Includi attributi facoltativi, puoi anche aggiungere un indirizzo email, un numero di telefono, un ruolo, uno stato, un paese, un reparto, una foto, il nome del responsabile o dei gruppi. Selezionare Avanzate per aggiungere una query di ricerca facoltativa.

  5. Selezionare Aggiungi.

  6. Torna alla scheda dei connettori della directory utente per controllare lo stato del connettore della directory utente. Se la creazione avviene correttamente, lo stato del connettore della directory utente viene visualizzato come In esecuzione.

Elimina un connettore di directory utente

Passi

  1. In Ransomware Resilience, vai su Impostazioni.

  2. Individua il riquadro Attività utente e seleziona Gestisci.

  3. Selezionare la scheda Connettore directory utente.

  4. Identifica il connettore della directory utente che desideri eliminare. Nel menu azioni alla fine della riga, seleziona i tre punti …​ quindi Elimina.

  5. Nella finestra di dialogo pop-up, seleziona Delete per confermare.

Escludi gli utenti dagli avvisi

Se ci sono determinati utenti attendibili il cui comportamento potrebbe attivare avvisi sul comportamento degli utenti, puoi escluderli dagli avvisi.

Passi

  1. In Ransomware Resilience, seleziona Impostazioni.

  2. Nella dashboard Impostazioni, individua la scheda User activity, quindi seleziona Manage.

  3. Seleziona la scheda Utenti esclusi.

  4. Per rivedere i singoli utenti nell'interfaccia utente, seleziona Seleziona manualmente. Per caricare un elenco di utenti esclusi, seleziona Carica.

    1. Se hai selezionato Seleziona manualmente, seleziona la casella di controllo accanto ai nomi degli utenti specifici che desideri escludere.

    2. Se selezioni Carica, devi prima scaricare un file CSV che include l'elenco di tutti gli utenti. Seleziona Scarica per accedere all'elenco.

      Esamina il file CSV. Rimuovi i nomi di tutti gli utenti per cui desideri mantenere il rilevamento. Quando l'elenco include solo i nomi degli utenti che desideri escludere dal rilevamento, salvalo. Seleziona Upload per individuare il file, quindi selezionalo.

  5. Seleziona Aggiungi per completare l'aggiunta degli utenti all'elenco delle esclusioni.

  6. Nella scheda Utenti esclusi, i nomi degli utenti rimossi dagli avvisi di rilevamento del comportamento utente ora vengono visualizzati nella dashboard.

Suggerimento È anche possibile escludere un utente direttamente da un avviso. Per ulteriori informazioni, vedere "Rispondere agli avvisi di ransomware".

Rimuovi gli utenti dall'elenco degli utenti esclusi

È possibile aggiungere nuovamente un utente al rilevamento in seguito.

Passi

  1. Nella dashboard Impostazioni, individua la scheda User activity, quindi seleziona Manage.

  2. Seleziona la scheda Utenti esclusi.

  3. Individua il nome dell'utente che desideri rimuovere dalla selezione degli utenti esclusi. Seleziona il menu Azione (…​ sulla riga con il nome dell'utente, quindi Rimuovi.

  4. Nella finestra di dialogo, seleziona Remove per confermare che desideri rimuovere gli utenti selezionati.

Rispondere agli avvisi di attività sospette degli utenti

Dopo aver configurato il rilevamento delle attività sospette degli utenti, è possibile monitorare gli eventi nella pagina degli avvisi. Per ulteriori informazioni, vedere "Rileva attività dannose e comportamenti sospetti degli utenti".