ONTAPアクセス拒否との統合
変更を提案
PDF
ONTAPアクセス拒否機能は、NAS環境(NFSおよびSMB)のワークロード分析を使用して、失敗したファイル処理(権限のない処理を実行しようとしているユーザなど)をプロアクティブに検出して警告します。これらのファイル操作の失敗の通知は、特にセキュリティ関連の障害の場合には、初期段階でのインサイダー攻撃のブロックにさらに役立ちます。
データインフラストラクチャインサイトワークロードセキュリティは、ONTAPと統合してアクセス拒否イベントを受信し、追加の分析および自動応答レイヤを提供します。
前提条件
-
ONTAPの最小バージョン:9.13.0
-
ワークロードセキュリティ管理者は、新しいコレクタの追加時または既存のコレクタの編集時に、[Advanced Configuration]の下にある[Monitor Access Denied Events]チェックボックスをオンにして、アクセス拒否機能を有効にする必要があります。
ユーザ権限が必要です
クラスタ管理資格情報を使用してData Collectorを追加する場合、新しい権限は必要ありません。
ユーザに付与された権限を持つカスタムユーザ(_csuser_など)を使用してコレクタを追加する場合は、次の手順に従って、ONTAPでアクセス拒否イベントに登録するために必要な権限をワークロードセキュリティに付与します。
CSUSER WITH_CLUSTER_CREDENTIALの場合は、ONTAPコマンドラインから次のコマンドを実行します。_csrestrole_はカスタムロールで、_csuser_はONTAPカスタムユーザです。
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole
csuser with _svm_credentialsの場合は、ONTAPコマンドラインから次のコマンドを実行します。
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <svm_name> security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole -vserver <svm_name>
その他の設定について詳しくは、こちらをご覧ください"ONTAPケンケン"。
アクセス拒否イベント
ONTAPシステムからイベントが取得されると、[ワークロードセキュリティフォレンジック]ページにアクセス拒否イベントが表示されます。表示される情報に加えて、歯車アイコンから_desired Activity_columnをテーブルに追加することで、特定の操作で不足しているユーザー権限を表示できます。
