Skip to main content
NetApp Ransomware Resilience
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare il rilevamento delle attività sospette degli utenti in NetApp Ransomware Resilience

Collaboratori netapp-ahibbard
PDF

Ransomware Resilience supporta il rilevamento di comportamenti sospetti degli utenti nelle policy di rilevamento, consentendo di affrontare gli incidenti ransomware a livello di utente.

Ransomware Resilience rileva le attività sospette degli utenti analizzando gli eventi di attività degli utenti generati da FPolicy in ONTAP. Per raccogliere dati sull'attività dell'utente, è necessario distribuire uno o più agenti di attività dell'utente. L'agente è un server Linux o una macchina virtuale con connettività ai dispositivi del tuo tenant.

Agenti e collettori di attività utente

Per attivare il rilevamento delle attività sospette degli utenti in Ransomware Resilience, è necessario installare almeno un agente di attività utente. Quando si attiva la funzionalità relativa alle attività sospette degli utenti dalla dashboard Ransomware Resilience, è necessario fornire le informazioni sull'host dell'agente.

Un agente può ospitare più raccoglitori di dati. I raccoglitori di dati inviano i dati a una posizione SaaS per l'analisi. Esistono due tipi di collezionisti:

  • Il collettore dati raccoglie i dati sull'attività degli utenti da ONTAP.

  • Il connettore directory utente si connette alla tua directory per mappare gli ID utente ai nomi utente.

I collettori vengono configurati nelle impostazioni di Resilienza ransomware.

Ruolo Console obbligatorio Per attivare il rilevamento di attività utente sospette, è necessario il ruolo di amministratore dell'organizzazione. Per le configurazioni successive relative ad attività utente sospette, è necessario il ruolo di amministratore del comportamento utente Ransomware Resilience. "Scopri di più sui ruoli di Ransomware Resilience per NetApp Console".

Requisiti di sistema

Per installare un agente di attività utente, è necessario un host o una macchina virtuale che soddisfi i seguenti requisiti.

Requisiti del sistema operativo

Sistema operativo Versioni supportate

AlmaLinux

Da 9.4 (64 bit) a 9.5 (64 bit) e 10 (64 bit), incluso SELinux

CentOS

CentOS Stream 9 (64 bit)

Debian

11 (64 bit), 12 (64 bit), incluso SELinux

OpenSUSE Leap

Da 15.3 (64 bit) a 15.6 (64 bit)

Oracle Linux

8.10 (64 bit) e 9.1 (64 bit) fino a 9.6 (64 bit), incluso SELinux

Cappello rosso

8.10 (64 bit), 9.1 (64 bit) fino a 9.6 (64 bit) e 10 (64 bit), incluso SELinux

Roccioso

Rocky 9.4 (64 bit) fino a 9.6 (64 bit), incluso SELinux

SUSE Enterprise Linux

15 SP4 (64 bit) fino a 15 SP6 (64 bit), incluso SELinux

Ubuntu

20.04 LTS (64 bit), 22.04 LTS (64 bit) e 24.04 LTS (64 bit)
Nota L’ordinateur que vous utilisez pour l’agent d’activité de l’utilisateur ne doit pas exécuter d’autres logiciels au niveau de l’application. Si consiglia un server dedicato.

IL unzip il comando è necessario per l'installazione. IL sudo su - Il comando è necessario per l'installazione, l'esecuzione degli script e la disinstallazione.

Requisiti del server

Il server deve soddisfare i seguenti requisiti minimi:

  • CPU: 4 core

  • RAM: 16 GB di RAM

  • Spazio su disco: 36 GB di spazio libero su disco

Nota Assegnare spazio extra sul disco per consentire la creazione del file system. Assicurarsi che ci siano almeno 35 GB di spazio libero nel file system. + Se /opt è una cartella montata da un archivio NAS, gli utenti locali devono avere accesso a questa cartella. La creazione dell'agente di attività utente può fallire se gli utenti locali non dispongono delle autorizzazioni necessarie.
Nota Si consiglia di installare l'agente di attività utente su un sistema diverso da quello dell'ambiente Ransomware Resilience. Se decidi di installarli sullo stesso computer, dovresti prevedere da 50 a 55 GB di spazio su disco. Per Linux, allocare 25-30 GB di spazio a /opt/netapp e 25 GB a var/log/netapp.
Suggerimento Si consiglia di sincronizzare l'ora sia sul sistema ONTAP sia sulla macchina dell'agente di attività utente utilizzando il protocollo NTP (Network Time Protocol) o il protocollo SNTP (Simple Network Time Protocol).

Regole di accesso alla rete cloud

Esamina le regole di accesso alla rete cloud per la tua area geografica di riferimento (Asia Pacifico, Europa o Stati Uniti).

Distribuzioni di agenti di attività utente basate su APAC

Protocollo Porta Fonte Destinazione Descrizione

TCP

443

Agente di attività dell'utente

Servizio di resilienza al ransomware

Accesso alla resilienza del ransomware

TCP

443

Agente di attività dell'utente

Servizio di resilienza al ransomware

Accesso ai servizi di autenticazione

Distribuzioni di agenti di attività utente basate in Europa

Protocollo Porta Fonte Destinazione Descrizione

TCP

443

Agente di attività dell'utente

Servizio di resilienza al ransomware

Accesso alla resilienza del ransomware

TCP

443

Agente di attività dell'utente

Servizio di resilienza al ransomware

Accesso ai servizi di autenticazione

Distribuzioni di agenti di attività utente con sede negli Stati Uniti

Protocollo Porta Fonte Destinazione Descrizione

TCP

443

Agente di attività dell'utente

Servizio di resilienza al ransomware

Accesso alla resilienza del ransomware

TCP

443

Agente di attività dell'utente

Servizio di resilienza al ransomware

Accesso ai servizi di autenticazione

Regole in-network

Protocollo Porta Fonte Destinazione Descrizione

TCP

389 (LDAP) 636 (LDAP / start-tls)

Agente di attività dell'utente

URL del server LDAP

Connettiti a LDAP

TCP

443

Agente di attività dell'utente

Indirizzo IP di gestione del cluster o SVM (a seconda della configurazione del collettore SVM)

Comunicazione API con ONTAP

TCP

35000 - 55000

Indirizzi IP LIF dei dati SVM

Agente di attività dell'utente

Comunicazione da ONTAP all'agente di attività dell'utente per gli eventi Fpolicy. Queste porte devono essere aperte verso l'agente di attività utente affinché ONTAP possa inviargli eventi, incluso qualsiasi firewall sull'agente di attività utente stesso (se presente). + NOTA: Non è necessario riservare tutte queste porte, ma le porte riservate a questo scopo devono essere comprese in questo intervallo. Si consiglia di iniziare riservando 100 porte e di aumentarle se necessario.

TCP

35000-55000

IP di gestione del cluster

Agente di attività dell'utente

Comunicazione dall'IP di gestione del cluster ONTAP all'agente di attività dell'utente per eventi EMS. Queste porte devono essere aperte verso l'agente di attività utente affinché ONTAP possa inviargli eventi EMS, incluso qualsiasi firewall sull'agente di attività utente stesso. + NOTA: Non è necessario riservare tutte queste porte, ma le porte riservate a questo scopo devono essere comprese in questo intervallo. Si consiglia di iniziare riservando 100 porte e di aumentarle se necessario.

SSH

22

Agente di attività dell'utente

Gestione dei cluster

Necessario per il blocco degli utenti CIFS/SMB.

Abilita il rilevamento delle attività sospette degli utenti

Assicurati di aver soddisfatto i requisiti "requisiti di sistema" per l'agente di attività dell'utente. Assicurati che la tua configurazione sia conforme ai provider cloud e alle regioni supportati.

Supporto del provider cloud

I dati sulle attività sospette degli utenti possono essere archiviati in AWS e Azure nelle seguenti regioni:

Fornitore di cloud Regione

AWS

  • Asia Pacifico (Sydney) (ap-southeast-2)

  • Europa (Francoforte) (eu-central-1)

  • Stati Uniti orientali (Virginia settentrionale) (us-east-1)

Azzurro

Stati Uniti orientali

Aggiungi un agente di attività utente

Gli agenti di attività utente sono ambienti eseguibili per i raccoglitori di dati; i raccoglitori di dati condividono gli eventi di attività utente con Ransomware Resilience. È necessario creare almeno un agente di attività utente per abilitare il rilevamento di attività utente sospette.

Passi

  1. Se è la prima volta che crei un agente di attività utente, vai alla Dashboard. Nel riquadro Attività utente, seleziona Attiva.

    Se vuoi aggiungere un ulteriore agente di attività utente, vai su Impostazioni, individua il riquadro Attività utente, quindi seleziona Gestisci. Nella schermata Attività utente, seleziona la scheda Agenti attività utente, quindi Aggiungi.

  2. Seleziona un fornitore cloud, quindi una regione. Selezionare Avanti.

  3. Fornire i dettagli dell'agente di attività dell'utente:

    • Nome dell'agente di attività dell'utente

    • Agente console - L'agente console deve trovarsi nella stessa rete dell'agente di attività utente e disporre di connettività SSH all'indirizzo IP dell'agente di attività utente.

    • Nome DNS o indirizzo IP della VM

    • Chiave SSH della VM

      Screenshot dell'interfaccia dell'agente di aggiunta attività.

  4. Selezionare Avanti.

  5. Rivedi le tue impostazioni. Selezionare Attiva per completare l'aggiunta dell'agente di attività utente.

  6. Conferma che l'agente di attività utente è stato creato correttamente. Nel riquadro Attività utente, una distribuzione riuscita viene visualizzata come In esecuzione.

Risultato

Dopo aver creato correttamente l'agente di attività utente, torna al menu Impostazioni, quindi seleziona Gestisci nel riquadro Attività utente. Selezionare la scheda Agente attività utente, quindi selezionare l'agente attività utente per visualizzarne i dettagli, inclusi i collettori dati e i connettori della directory utente.

Aggiungi un raccoglitore di dati

I collettori di dati vengono creati automaticamente quando si attiva una strategia di protezione dal ransomware con rilevamento delle attività sospette degli utenti. Per maggiori informazioni, vedere aggiungere una politica di rilevamento.

È possibile visualizzare i dettagli del raccoglitore dati. Da Impostazioni, seleziona Gestisci nel riquadro Attività utente. Selezionare la scheda Raccolta dati, quindi selezionare la raccolta dati per visualizzarne i dettagli o metterla in pausa.

Screenshot delle impostazioni dell'attività utente

Aggiungi un connettore di directory utente

Per mappare gli ID utente ai nomi utente, è necessario creare un connettore di directory utente.

Passi

  1. In Ransomware Resilience, vai su Impostazioni.

  2. Nel riquadro Attività utente, seleziona Gestisci.

  3. Selezionare la scheda Connettori directory utente, quindi Aggiungi.

  4. Configurare la connessione. Inserisci le informazioni richieste per ogni campo.

    Campo Descrizione

    Nome

    Inserisci un nome univoco per il connettore della directory utente

    Tipo di directory utente

    Il tipo di directory

    Indirizzo IP del server o nome di dominio

    L'indirizzo IP o il nome di dominio completo (FQDN) del server che ospita la connessione

    Nome della foresta o nome della ricerca

    È possibile specificare il livello di foresta della struttura della directory come nome di dominio diretto (ad esempio unit.company.com) o un insieme di nomi distinti relativi (ad esempio: DC=unit,DC=company,DC=com). Puoi anche inserire un OU per filtrare per unità organizzativa o per CN per limitare a un utente specifico (ad esempio: CN=user,OU=engineering,DC=unit,DC=company,DC=com).

    LEGA DN

    Il BIND DN è un account utente autorizzato a effettuare ricerche nella directory, ad esempio utente@dominio.com. L'utente necessita dell'autorizzazione di sola lettura del dominio.

    Password BIND

    La password per l'utente fornita in BIND DN

    Protocollo

    Il campo protocollo è facoltativo. È possibile utilizzare LDAP, LDAPS o LDAP su StartTLS.

    Porta

    Inserisci il numero di porta scelto

    Screenshot della connessione alla directory utente

    Fornire i dettagli della mappatura degli attributi:

    • Nome da visualizzare

    • SID (se si utilizza LDAP)

    • Nome utente

    • ID Unix (se stai utilizzando NFS)

    • Se selezioni Includi attributi facoltativi, puoi anche aggiungere un indirizzo email, un numero di telefono, un ruolo, uno stato, un paese, un reparto, una foto, il nome del responsabile o dei gruppi. Selezionare Avanzate per aggiungere una query di ricerca facoltativa.

  5. Selezionare Aggiungi.

  6. Torna alla scheda dei connettori della directory utente per controllare lo stato del connettore della directory utente. Se la creazione avviene correttamente, lo stato del connettore della directory utente viene visualizzato come In esecuzione.

Elimina un connettore di directory utente

  1. In Ransomware Resilience, vai su Impostazioni.

  2. Individua il riquadro Attività utente e seleziona Gestisci.

  3. Selezionare la scheda Connettore directory utente.

  4. Identifica il connettore della directory utente che desideri eliminare. Nel menu azioni alla fine della riga, seleziona i tre punti …​ quindi Elimina.

  5. Nella finestra di dialogo pop-up, seleziona Elimina per confermare le tue azioni.

Rispondere agli avvisi di attività sospette degli utenti

Dopo aver configurato il rilevamento delle attività sospette degli utenti, è possibile monitorare gli eventi nella pagina degli avvisi. Per ulteriori informazioni, consultare "Rileva attività dannose e comportamenti anomali degli utenti" .