NetApp Ransomware Resilienceのユーザーアクティビティ検出要件
変更を提案
PDF
NetApp Ransomware Resilienceユーザー行動検出により、ユーザーレベルのランサムウェア イベントに対応できるようになります。ユーザーの動作検出を有効にするには、エージェントのセットを作成する必要があります。検出を有効にする前に、Ransomware Resilienceがイベントを適切に検出して報告できるように、概説されているオペレーティング システム、サーバー、およびネットワークの要件を満たしていることを確認する必要があります。
ランサムウェア耐性では、オンプレミスONTAPシステム、およびAmazon FsxN for NetApp ONTAPとCloud Volumes ONTAPシステムのワークロードに対するユーザー行動検出がサポートされており、クラウドプロバイダのサポートに準拠しています。
クラウドプロバイダのサポート
ユーザー行動データは、AWSおよびAzureの以下のリージョンに保存できます:
| クラウド プロバイダ | リージョン |
|---|---|
AWS |
|
Azure |
米国東部 |
オペレーティング システム要件
疑わしいユーザー行動の検出は、次のオペレーティングシステムでサポートされています:
| オペレーティング システム | サポート対象のバージョン |
|---|---|
アルマリナックス |
9.4 (64 ビット) から 9.5 (64 ビット)、および 10 (64 ビット) (SELinux を含む) |
CentOS |
CentOS Stream 9 (64 ビット) |
Debian |
11 (64 ビット)、12 (64 ビット)、SELinux を含む |
OpenSUSE リープ |
15.3 (64 ビット) から 15.6 (64 ビット) |
Oracle Linux |
8.10 (64 ビット)、および 9.1 (64 ビット) から 9.6 (64 ビット) (SELinux を含む) |
Red Hat |
8.10 (64 ビット)、9.1 (64 ビット) から 9.6 (64 ビット)、および 10 (64 ビット) (SELinux を含む) |
ロッキー |
Rocky 9.4 (64 ビット) から 9.6 (64 ビット)、SELinux を含む |
SUSEエンタープライズLinux |
15 SP4 (64 ビット) から 15 SP6 (64 ビット)、SELinux を含む |
Ubuntu |
20.04 LTS (64 ビット)、22.04 LTS (64 ビット)、24.04 LTS (64 ビット) |
|
ユーザー アクティビティ エージェントに使用するマシンは、他のアプリケーションレベルのソフトウェアを実行しないでください。専用サーバーをお勧めします。 |
その unzip インストールにはコマンドが必要です。その sudo su - インストール、スクリプトの実行、アンインストールにはコマンドが必要です。
サーバー要件
サーバーは次の最小要件を満たしている必要があります。
-
CPU: 4コア
-
RAM: 16GB RAM
-
ディスク容量: 36 GB の空きディスク容量
サーバーの推奨事項
-
ファイルシステムの作成を可能にするために追加のディスク領域を割り当てます。ファイルシステムに少なくとも 35 GB の空き領域があることを確認します。+ もし
/optNAS ストレージからマウントされたフォルダーであるため、ローカル ユーザーはこのフォルダーにアクセスできる必要があります。ローカル ユーザーに必要な権限がない場合、ユーザー アクティビティ エージェントの作成が失敗する可能性があります。 -
ユーザーアクティビティエージェントは、Ransomware Resilienceとは別のシステムにインストールすることを推奨します。同じマシンにインストールする場合は、50~55 GBのディスク容量を確保する必要があります。Linuxの場合は、 `/opt/netapp`に25~30 GBのスペースを割り当て、 `var/log/netapp`に25 GBを割り当てます。
-
Network Time Protocol (NTP) または Simple Network Time Protocol (SNTP) を使用して、 ONTAPシステムとユーザー アクティビティ エージェント マシンの両方の時刻を同期することをお勧めします。
サイジングの推奨事項
ユーザーイベントを収集する際は、ユーザーアクティビティエージェントをホストするマシンが、イベント発生頻度に対応できる十分な容量を備えていることを確認してください。これは、ユーザーアクティビティエージェントをホストするマシンに、毎秒発生するイベント数を処理できるだけの十分なデータコレクター、CPU、およびRAMが搭載されていることを確認する必要があることを意味します。データコレクターの数を増やすには、RAMまたはCPUの容量を増やす必要がある場合があります。Ransomware Resilienceは、ユーザーアクティビティエージェントごとに最大50個のデータコレクターをサポートします。
次の表は、サイジングに関する一般的なガイダンスを示しています。
| ユーザーアクティビティエージェントマシン構成 | データコレクタの数 | 最大イベントレート |
|---|---|---|
4コア、16GB |
10個のデータコレクタ |
20,000件のイベント/秒 |
4コア、32GB |
20個のデータコレクタ |
20,000件のイベント/秒 |
ご自身の具体的な要件を計算することもできます。適切な規模を計算する際には、30%のバッファー率で適格性を判断することをお勧めします。この式を使用して、お使いの構成が負荷に対応できるかどうかを判断してください。
Where E is the sum of all events per second across all data collectors: E + (0.3 x E) < 20,000 events/second
Ransomware Resilienceは、イベントデータレートを計算するためのスクリプトを提供します。Ransomware Resilienceにおけるイベントデータレートの計算方法を学びましょう。
Ransomware Resilienceは、システム上で実行してイベントデータレートを計算するスクリプトを提供します。デフォルトでは、このスクリプトは最大5台のストレージVMに対して実行されます。環境に5つ以上のSVMが含まれている場合は、スクリプトをそれに応じて修正してください。SVMの数に関わらず、このスクリプトは平均イベント発生率の読み取りに約5分かかります。スクリプトを実行する前に、以下のものが必要です:
-
クラスタ IP アドレス
-
クラスタ管理者のユーザ名とパスワード
-
Linux マシンにインストール済み
sshpass(コマンドでインストールできますsudo yum install -y sshpass)
-
ユーザーアクティビティエージェントをホストしているクラスターから、管理者としてスクリプトを実行します:
/opt/netapp/cloudsecure/agent/install/svm_event_rate_checker.sh -
プロンプトが表示されたら、クラスタのIPアドレス、管理者ユーザー名、および管理者パスワードを入力してください。
-
このスクリプトの実行には約5分かかります。処理が完了すると、コマンドラインにイベント発生率が表示されます。例えば、"Svm svm_rate is generating 100 events/sec."のように表示されます。
イベント発生率を使用して、サイジングを計算してください。
クラウドネットワークアクセスルール
関連する地域 (アジア太平洋、ヨーロッパ、または米国) のクラウド ネットワーク アクセス ルールを確認します。
|
初期インストール時に、 <site_name>`をワイルドカード(*`)権限に置き換えます。エージェントがアクティブ化され、完全に動作可能になったら、権限をサイト名に置き換えることができます。サイト名については、NetAppの担当者にお問い合わせください。
|
|
|
ユーザアクティビティエージェントはNetApp Data Infrastructure Insightsテクノロジを使用するため、 `cloudinsights`エンドポイントを使用します。詳細については、次を参照してください。 |
APACベースのユーザーアクティビティエージェントの導入
| プロトコル | ポート | ソース | デスティネーション | 説明 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
ユーザーアクティビティエージェント |
|
ランサムウェア耐性へのアクセス |
ヨーロッパを拠点とするユーザーアクティビティエージェントの導入
| プロトコル | ポート | ソース | デスティネーション | 説明 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
ユーザーアクティビティエージェント |
|
ランサムウェア耐性へのアクセス |
米国ベースのユーザアクティビティエージェントの導入
| プロトコル | ポート | ソース | デスティネーション | 説明 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
ユーザーアクティビティエージェント |
|
ランサムウェア耐性へのアクセス |
ネットワーク内ルール
| プロトコル | ポート | ソース | デスティネーション | 説明 |
|---|---|---|---|---|
TCP |
389(LDAP) 636 (LDAP / start-tls) |
ユーザーアクティビティエージェント |
LDAP Server URL |
LDAPに接続する |
HTTPS(TCP) |
443 |
ユーザーアクティビティエージェント |
クラスタまたは SVM 管理 IP アドレス (SVM コレクターの構成によって異なります) |
ONTAPとのAPI通信 |
TCP |
35000 - 55000 |
SVMデータLIF IPアドレス |
ユーザーアクティビティエージェント |
Fpolicy イベントに関するONTAPからユーザー アクティビティ エージェントへの通信。ONTAP がイベントをユーザー アクティビティ エージェントに送信するには、ユーザー アクティビティ エージェントに対してこれらのポートを開く必要があります。これには、ユーザー アクティビティ エージェント自体のファイアウォール(存在する場合)も含まれます。+ 注意: これらのポートをすべて予約する必要はありませんが、予約するポートはこの範囲内である必要があります。まずは 100 個のポートを予約し、必要に応じて増やすことをお勧めします。 |
TCP |
35000-55000 |
クラスタ管理IP |
ユーザーアクティビティエージェント |
ONTAPクラスタ管理 IP から EMS イベント のユーザ アクティビティ エージェントへの通信。ONTAP がEMS イベントを送信するには、ユーザ アクティビティ エージェント自体のファイアウォールも含めて、これらのポートをユーザ アクティビティ エージェントに対して開く必要があります。+ 注意: これらのポートをすべて予約する必要はありませんが、予約するポートはこの範囲内である必要があります。まずは 100 個のポートを予約し、必要に応じて増やすことをお勧めします。 |
SSH |
22 |
ユーザーアクティビティエージェント |
クラスタ管理 |
CIFS/SMB ユーザーのブロックに必要です。 |