NetApp Ransomware Resilience におけるユーザー行動検出の要件
変更を提案
PDF
NetApp Ransomware Resilienceユーザー行動検出により、ユーザーレベルのランサムウェア イベントに対応できるようになります。ユーザーの動作検出を有効にするには、エージェントのセットを作成する必要があります。検出を有効にする前に、Ransomware Resilienceがイベントを適切に検出して報告できるように、概説されているオペレーティング システム、サーバー、およびネットワークの要件を満たしていることを確認する必要があります。
クラウドプロバイダのサポート
疑わしいユーザーアクティビティ データは、次のリージョンの AWS および Azure に保存される可能性があります。
| クラウド プロバイダ | リージョン |
|---|---|
AWS |
|
Azure |
米国東部 |
オペレーティング システム要件
疑わしいユーザー行動の検出は、次のオペレーティングシステムでサポートされています:
| オペレーティング システム | サポート対象のバージョン |
|---|---|
アルマリナックス |
9.4 (64 ビット) から 9.5 (64 ビット)、および 10 (64 ビット) (SELinux を含む) |
CentOS |
CentOS Stream 9 (64 ビット) |
Debian |
11 (64 ビット)、12 (64 ビット)、SELinux を含む |
OpenSUSE リープ |
15.3 (64 ビット) から 15.6 (64 ビット) |
Oracle Linux |
8.10 (64 ビット)、および 9.1 (64 ビット) から 9.6 (64 ビット) (SELinux を含む) |
Red Hat |
8.10 (64 ビット)、9.1 (64 ビット) から 9.6 (64 ビット)、および 10 (64 ビット) (SELinux を含む) |
ロッキー |
Rocky 9.4 (64 ビット) から 9.6 (64 ビット)、SELinux を含む |
SUSEエンタープライズLinux |
15 SP4 (64 ビット) から 15 SP6 (64 ビット)、SELinux を含む |
Ubuntu |
20.04 LTS (64 ビット)、22.04 LTS (64 ビット)、24.04 LTS (64 ビット) |
|
ユーザー アクティビティ エージェントに使用するマシンは、他のアプリケーションレベルのソフトウェアを実行しないでください。専用サーバーをお勧めします。 |
その unzip インストールにはコマンドが必要です。その sudo su - インストール、スクリプトの実行、アンインストールにはコマンドが必要です。
サーバー要件
サーバーは次の最小要件を満たしている必要があります。
-
CPU: 4コア
-
RAM: 16GB RAM
-
ディスク容量: 36 GB の空きディスク容量
サーバーの推奨事項
-
ファイルシステムの作成を可能にするために追加のディスク領域を割り当てます。ファイルシステムに少なくとも 35 GB の空き領域があることを確認します。+ もし
/optNAS ストレージからマウントされたフォルダーであるため、ローカル ユーザーはこのフォルダーにアクセスできる必要があります。ローカル ユーザーに必要な権限がない場合、ユーザー アクティビティ エージェントの作成が失敗する可能性があります。 -
ユーザーアクティビティエージェントは、Ransomware Resilienceとは別のシステムにインストールすることを推奨します。同じマシンにインストールする場合は、50~55 GBのディスク容量を確保する必要があります。Linuxの場合は、 `/opt/netapp`に25~30 GBのスペースを割り当て、 `var/log/netapp`に25 GBを割り当てます。
-
Network Time Protocol (NTP) または Simple Network Time Protocol (SNTP) を使用して、 ONTAPシステムとユーザー アクティビティ エージェント マシンの両方の時刻を同期することをお勧めします。
クラウドネットワークアクセスルール
関連する地域 (アジア太平洋、ヨーロッパ、または米国) のクラウド ネットワーク アクセス ルールを確認します。
|
初期インストール時に、 <site_name>`をワイルドカード(*`)権限に置き換えます。エージェントがアクティブ化され、完全に動作可能になったら、権限をサイト名に置き換えることができます。サイト名については、NetAppの担当者にお問い合わせください。
|
|
|
ユーザアクティビティエージェントはNetApp Data Infrastructure Insightsテクノロジを使用するため、 `cloudinsights`エンドポイントを使用します。詳細については、次を参照してください。 |
APACベースのユーザーアクティビティエージェントの導入
| プロトコル | ポート | ソース | デスティネーション | 説明 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
ユーザーアクティビティエージェント |
|
ランサムウェア耐性へのアクセス |
ヨーロッパを拠点とするユーザーアクティビティエージェントの導入
| プロトコル | ポート | ソース | デスティネーション | 説明 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
ユーザーアクティビティエージェント |
|
ランサムウェア耐性へのアクセス |
米国ベースのユーザアクティビティエージェントの導入
| プロトコル | ポート | ソース | デスティネーション | 説明 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
ユーザーアクティビティエージェント |
|
ランサムウェア耐性へのアクセス |
ネットワーク内ルール
| プロトコル | ポート | ソース | デスティネーション | 説明 |
|---|---|---|---|---|
TCP |
389(LDAP) 636 (LDAP / start-tls) |
ユーザーアクティビティエージェント |
LDAP Server URL |
LDAPに接続する |
HTTPS(TCP) |
443 |
ユーザーアクティビティエージェント |
クラスタまたは SVM 管理 IP アドレス (SVM コレクターの構成によって異なります) |
ONTAPとのAPI通信 |
TCP |
35000 - 55000 |
SVMデータLIF IPアドレス |
ユーザーアクティビティエージェント |
Fpolicy イベントに関するONTAPからユーザー アクティビティ エージェントへの通信。ONTAP がイベントをユーザー アクティビティ エージェントに送信するには、ユーザー アクティビティ エージェントに対してこれらのポートを開く必要があります。これには、ユーザー アクティビティ エージェント自体のファイアウォール(存在する場合)も含まれます。+ 注意: これらのポートをすべて予約する必要はありませんが、予約するポートはこの範囲内である必要があります。まずは 100 個のポートを予約し、必要に応じて増やすことをお勧めします。 |
TCP |
35000-55000 |
クラスタ管理IP |
ユーザーアクティビティエージェント |
ONTAPクラスタ管理 IP から EMS イベント のユーザ アクティビティ エージェントへの通信。ONTAP がEMS イベントを送信するには、ユーザ アクティビティ エージェント自体のファイアウォールも含めて、これらのポートをユーザ アクティビティ エージェントに対して開く必要があります。+ 注意: これらのポートをすべて予約する必要はありませんが、予約するポートはこの範囲内である必要があります。まずは 100 個のポートを予約し、必要に応じて増やすことをお勧めします。 |
SSH |
22 |
ユーザーアクティビティエージェント |
クラスタ管理 |
CIFS/SMB ユーザーのブロックに必要です。 |