NetApp Ransomware Resilienceで疑わしいユーザーアクティビティの検出を構成する
変更を提案
PDF
ランサムウェア耐性は、検出ポリシーで疑わしいユーザー行動の検出をサポートし、ユーザー レベルでランサムウェア インシデントに対処できるようにします。
Ransomware Resilience は、 ONTAPの FPolicy によって生成されたユーザー アクティビティ イベントを分析して、疑わしいユーザー アクティビティを検出します。ユーザー アクティビティ データを収集するには、1 つ以上のユーザー アクティビティ エージェントを展開する必要があります。エージェントは、テナント上のデバイスに接続できる Linux サーバーまたは VM です。
エージェントとコレクター
Ransomware Resilience で疑わしいユーザー アクティビティの検出を有効にするには、少なくとも 1 つのユーザー アクティビティ エージェントをインストールする必要があります。ランサムウェア耐性ダッシュボードから疑わしいユーザー アクティビティ機能を有効にする場合、機能を有効にするためにエージェント ホスト情報を提供する必要があります。
エージェントは複数のデータ コレクターをホストできます。データ コレクターは、分析のためにデータを SaaS の場所に送ります。コレクターには 2 つの種類があります。
-
データ コレクター は、 ONTAPからユーザー アクティビティ データを収集します。
-
ユーザー ディレクトリ コネクタ はディレクトリに接続して、ユーザー ID をユーザー名にマッピングします。
コレクターは、ランサムウェア耐性設定で構成されます。
不審なユーザーアクティビティの検出を有効にする
必要なコンソール ロール 疑わしいユーザー アクティビティの検出を有効にするには、組織管理者のロールが必要です。疑わしいユーザー アクティビティに関する後続の構成では、ランサムウェア耐性ユーザー ビヘイビア管理者ロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ"。
ユーザーアクティビティエージェントを追加する
ユーザー アクティビティ エージェントはデータ コレクターの実行可能環境です。データ コレクターはユーザー アクティビティ イベントを Ransomware Resilience と共有します。疑わしいユーザー アクティビティの検出を有効にするには、少なくとも 1 つのユーザー アクティビティ エージェントを作成する必要があります。
要件
ユーザー アクティビティ エージェントをインストールするには、次のサポートされているオペレーティング システムとサーバーの要件を満たすホストまたは VM が必要です。
オペレーティング システム要件
オペレーティング システム |
サポート対象のバージョン |
アルマリナックス |
9.4 (64 ビット) から 9.5 (64 ビット)、および 10 (64 ビット) (SELinux を含む) |
CentOS |
CentOS Stream 9 (64 ビット) |
Debian |
11 (64 ビット)、12 (64 ビット)、SELinux を含む |
OpenSUSE リープ |
15.3 (64 ビット) から 15.6 (64 ビット) |
Oracle Linux |
8.10 (64 ビット)、および 9.1 (64 ビット) から 9.6 (64 ビット) (SELinux を含む) |
レッドハット |
8.10 (64 ビット)、9.1 (64 ビット) から 9.6 (64 ビット)、および 10 (64 ビット) (SELinux を含む) |
ロッキー |
Rocky 9.4 (64 ビット) から 9.6 (64 ビット)、SELinux を含む |
SUSEエンタープライズLinux |
15 SP4 (64 ビット) から 15 SP6 (64 ビット)、SELinux を含む |
Ubuntu |
20.04 LTS (64 ビット)、22.04 LTS (64 ビット)、24.04 LTS (64 ビット) |
サーバー要件
サーバーは次の最小要件を満たしている必要があります。
-
CPU: 4コア
-
RAM: 16GB RAM
-
ディスク容量: 35GBの空きディスク容量
-
ユーザー アクティビティ エージェントを初めて作成する場合は、ダッシュボード に移動してください。ユーザー アクティビティ タイルで、アクティブ化 を選択します。
追加のユーザー アクティビティ エージェントを追加する場合は、[設定] に移動し、[ユーザー アクティビティ] タイルを見つけて、[管理] を選択します。[ユーザー アクティビティ] 画面で、[ユーザー アクティビティ エージェント] タブを選択し、[追加] を選択します。
-
クラウド プロバイダー を選択し、次に リージョン を選択します。次へを選択します。
-
ユーザー アクティビティ エージェントの詳細を入力します。
-
ユーザーアクティビティエージェント名
-
コンソール エージェント - コンソール エージェントは、ユーザー アクティビティ エージェントと同じネットワーク内に存在し、ユーザー アクティビティ エージェントの IP アドレスに SSH 接続できる必要があります。
-
VM DNS名またはIPアドレス
-
VM SSHキー
-
-
次へを選択します。
-
設定を確認してください。*アクティブ化*を選択して、ユーザー アクティビティ エージェントの追加を完了します。
-
ユーザー アクティビティ エージェントが正常に作成されたことを確認します。ユーザー アクティビティ タイルに、成功したデプロイメントが「実行中」として表示されます。
ユーザー アクティビティ エージェントが正常に作成されたら、[設定] メニューに戻り、[ユーザー アクティビティ] タイルで [管理] を選択します。ユーザー アクティビティ エージェント タブを選択し、ユーザー アクティビティ エージェントを選択して、データ コレクターやユーザー ディレクトリ コネクタなどの詳細を表示します。
データコレクターを追加する
疑わしいユーザー アクティビティの検出を含むランサムウェア保護戦略を有効にすると、データ コレクターが自動的に作成されます。詳細については、以下を参照してください。 検出ポリシーを追加する 。
データコレクターの詳細を表示できます。[設定] から、[ユーザー アクティビティ] タイルの [管理] を選択します。データ コレクター タブを選択し、データ コレクターを選択して詳細を表示するか、一時停止します。
ユーザーディレクトリコネクタを追加する
ユーザー ID をユーザー名にマップするには、ユーザー ディレクトリ コネクタを作成する必要があります。
-
Ransomware Resilience で、[設定] に移動します。
-
ユーザー アクティビティ タイルで、管理 を選択します。
-
ユーザー ディレクトリ コネクタ タブを選択し、追加 を選択します。
-
接続の詳細を入力してください:
-
名前
-
ユーザーディレクトリの種類
-
サーバーのIPアドレスまたはドメイン名
-
フォレスト名または検索名
-
BINDドメイン名
-
BINDパスワード
-
プロトコル (オプション)
-
ポート
属性マッピングの詳細を指定します。
-
表示名
-
SID (LDAP を使用している場合)
-
ユーザー名
-
Unix ID (NFS を使用している場合)
-
*オプション属性を含める*を選択します。電子メール アドレス、電話番号、役割、州、国、部門、写真、マネージャー DN、グループなどを含めることもできます。
オプションの検索クエリを追加するには、[詳細] を選択します。
-
-
追加を選択します。
-
ユーザー ディレクトリ コネクタ タブに戻り、ユーザー ディレクトリ コネクタのステータスを確認します。正常に作成されると、ユーザー ディレクトリ コネクタのステータスは 実行中 と表示されます。
ユーザーディレクトリコネクタを削除する
-
Ransomware Resilience で、[設定] に移動します。
-
ユーザー アクティビティ タイルを見つけて、[管理] を選択します。
-
ユーザー ディレクトリ コネクタ タブを選択します。
-
削除するユーザー ディレクトリ コネクタを特定します。行末のアクションメニューで、3つの点を選択します。 `…`次に削除します。
-
ポップアップ ダイアログで [削除] を選択して操作を確認します。
不審なユーザーアクティビティアラートに応答する
疑わしいユーザー アクティビティの検出を構成すると、アラート ページでイベントを監視できます。詳細については、以下を参照してください。 "悪意のあるアクティビティや異常なユーザー行動を検出する" 。