Skip to main content
NetApp Ransomware Resilience
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare il rilevamento delle attività sospette degli utenti in NetApp Ransomware Resilience

Collaboratori netapp-ahibbard
PDF

Ransomware Resilience supporta il rilevamento di comportamenti sospetti degli utenti nelle policy di rilevamento, consentendo di affrontare gli incidenti ransomware a livello di utente.

Ransomware Resilience rileva le attività sospette degli utenti analizzando gli eventi di attività degli utenti generati da FPolicy in ONTAP. Per raccogliere i dati sulle attività degli utenti, è necessario distribuire uno o più agenti di attività degli utenti. L'agente è un server Linux o una macchina virtuale con connettività ai dispositivi del tuo tenant.

Agenti e collezionisti

Per attivare il rilevamento delle attività sospette degli utenti in Ransomware Resilience, è necessario installare almeno un agente di attività utente. Quando si attiva la funzionalità relativa alle attività sospette degli utenti dalla dashboard di Ransomware Resilience, è necessario fornire le informazioni sull'host dell'agente per attivare la funzionalità.

Un agente può ospitare più raccoglitori di dati. I raccoglitori di dati inviano i dati a una posizione SaaS per l'analisi. Esistono due tipi di collezionisti:

  • il collettore dati raccoglie i dati sull'attività degli utenti da ONTAP.

  • il connettore directory utente si connette alla tua directory per mappare gli ID utente ai nomi utente.

I collettori vengono configurati nelle impostazioni di Resilienza ransomware.

Abilita il rilevamento delle attività sospette degli utenti

Ruolo Console obbligatorio Per eseguire questa attività, è necessario il ruolo di amministratore del comportamento utente di Ransomware Resilience. "Scopri di più sui ruoli di accesso alla console per tutti i servizi" .

Aggiungi un agente di attività utente

Gli agenti di attività utente sono ambienti eseguibili per i raccoglitori di dati; i raccoglitori di dati condividono gli eventi di attività utente con Ransomware Resilience. È necessario creare almeno un agente di attività utente per abilitare il rilevamento di attività utente sospette.

Requisiti

Per installare un agente di attività utente, è necessario un host o una macchina virtuale con uno dei seguenti requisiti di sistema operativo e server supportati.

Requisiti del sistema operativo

Sistema operativo

Versioni supportate

AlmaLinux

Da 9.4 (64 bit) a 9.5 (64 bit) e 10 (64 bit), incluso SELinux

CentOS

CentOS Stream 9 (64 bit)

Debian

11 (64 bit), 12 (64 bit), incluso SELinux

OpenSUSE Leap

Da 15.3 (64 bit) a 15.6 (64 bit)

Oracle Linux

8.10 (64 bit) e 9.1 (64 bit) fino a 9.6 (64 bit), incluso SELinux

RedHat

8.10 (64 bit), 9.1 (64 bit) fino a 9.6 (64 bit) e 10 (64 bit), incluso SELinux

Roccioso

Rocky 9.4 (64 bit) fino a 9.6 (64 bit), incluso SELinux

SUSE Enterprise Linux

15 SP4 (64 bit) fino a 15 SP6 (64 bit), incluso SELinux

Ubuntu

20.04 LTS (64 bit), 22.04 LTS (64 bit) e 24.04 LTS (64 bit)

Requisiti del server

Il server deve soddisfare i seguenti requisiti minimi:

  • CPU: 4 CORE

  • RAM: 16 GB di RAM

  • Spazio su disco: 35 GB di spazio libero su disco

Passi

  1. Se è la prima volta che crei un agente di attività utente, vai alla Dashboard. Nel riquadro Attività utente, seleziona Attiva.

    Se vuoi aggiungere un ulteriore agente di attività utente, vai su Impostazioni, individua il riquadro Attività utente, quindi seleziona Gestisci. Nella schermata Attività utente, seleziona la scheda Agenti attività utente, quindi Aggiungi.

  2. Seleziona un fornitore cloud, quindi una regione. Selezionare Avanti.

  3. Fornire i dettagli dell'agente di attività dell'utente:

    • Nome dell'agente di attività dell'utente

    • Agente console: l'agente console deve trovarsi nella stessa rete dell'agente di attività utente e disporre di connettività SSH all'indirizzo IP dell'agente di attività utente.

    • Nome DNS o indirizzo IP della VM

    • Chiave SSH della VM

      Screenshot dell'interfaccia dell'agente di aggiunta attività.

  4. Selezionare Avanti.

  5. Rivedi le tue impostazioni. Selezionare Attiva per completare l'aggiunta dell'agente di attività utente.

  6. Conferma che l'agente di attività utente è stato creato correttamente. Nel riquadro Attività utente, una distribuzione riuscita viene visualizzata come In esecuzione.

Risultato

Dopo aver creato correttamente l'agente di attività utente, torna al menu Impostazioni, quindi seleziona Gestisci nel riquadro Attività utente. Selezionare la scheda Agente attività utente, quindi selezionare l'agente attività utente per visualizzarne i dettagli, inclusi i collettori dati e i connettori della directory utente.

Aggiungi un raccoglitore di dati

I collettori di dati vengono creati automaticamente quando si attiva una strategia di protezione dal ransomware con rilevamento delle attività sospette degli utenti. Per ulteriori informazioni, consultare aggiungere una politica di rilevamento .

È possibile visualizzare i dettagli del raccoglitore dati. Da Impostazioni, seleziona Gestisci nel riquadro Attività utente. Selezionare la scheda Raccolta dati, quindi selezionare la raccolta dati per visualizzarne i dettagli o metterla in pausa.

Screenshot delle impostazioni dell'attività utente

Aggiungi un connettore di directory utente

Per mappare gli ID utente ai nomi utente, è necessario creare un connettore di directory utente.

Passi

  1. In Ransomware Resilience, vai su Impostazioni.

  2. Nel riquadro Attività utente, seleziona Gestisci.

  3. Selezionare la scheda Connettori directory utente, quindi Aggiungi.

  4. Fornire i dettagli della connessione:

    • Nome

    • Tipo di directory utente

    • Indirizzo IP del server o nome di dominio

    • Nome della foresta o nome della ricerca

    • Nome di dominio BIND

    • Password BIND

    • Protocollo (facoltativo)

    • Porta

      Screenshot della connessione alla directory utente

    Fornire i dettagli della mappatura degli attributi:

    • Nome da visualizzare

    • SID (se si utilizza LDAP)

    • Nome utente

    • ID Unix (se stai utilizzando NFS)

    • Seleziona Includi attributi facoltativi. Puoi anche includere indirizzo email, numero di telefono, ruolo, stato, paese, reparto, foto, nome del responsabile o gruppi.

      Selezionare Avanzate per aggiungere una query di ricerca facoltativa.

  5. Selezionare Aggiungi.

  6. Torna alla scheda dei connettori della directory utente per controllare lo stato del connettore della directory utente. Se la creazione avviene correttamente, lo stato del connettore della directory utente viene visualizzato come In esecuzione.

Elimina un connettore di directory utente

  1. In Ransomware Resilience, vai su Impostazioni.

  2. Individua il riquadro Attività utente e seleziona Gestisci.

  3. Selezionare la scheda Connettore directory utente.

  4. Identifica il connettore della directory utente che desideri eliminare. Nel menu azioni alla fine della riga, seleziona i tre punti …​ quindi Elimina.

  5. Nella finestra di dialogo pop-up, seleziona Elimina per confermare le tue azioni.

Rispondere agli avvisi di attività sospette degli utenti

Dopo aver configurato il rilevamento delle attività sospette degli utenti, è possibile monitorare gli eventi nella pagina degli avvisi. Per ulteriori informazioni, consultare "Rileva attività dannose e comportamenti anomali degli utenti" .