Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetApp Ransomware Resilienceで疑わしいユーザーアクティビティの検出を構成する

共同作成者 netapp-ahibbard
PDF

ランサムウェア耐性は、検出ポリシーで疑わしいユーザー行動の検出をサポートし、ユーザー レベルでランサムウェア インシデントに対処できるようにします。

Ransomware Resilience は、 ONTAPの FPolicy によって生成されたユーザー アクティビティ イベントを分析して、疑わしいユーザー アクティビティを検出します。ユーザー アクティビティ データを収集するには、1 つ以上のユーザー アクティビティ エージェントを展開する必要があります。エージェントは、テナント上のデバイスに接続できる Linux サーバーまたは VM です。

ユーザーアクティビティエージェントとコレクター

Ransomware Resilience で疑わしいユーザー アクティビティの検出を有効にするには、少なくとも 1 つのユーザー アクティビティ エージェントをインストールする必要があります。ランサムウェア耐性ダッシュボードから疑わしいユーザー アクティビティ機能を有効にする場合は、エージェント ホスト情報を提供する必要があります。

エージェントは複数のデータ コレクターをホストできます。データ コレクターは、分析のためにデータを SaaS の場所に送ります。コレクターには 2 つの種類があります。

  • データ コレクター は、 ONTAPからユーザー アクティビティ データを収集します。

  • ユーザー ディレクトリ コネクタ はディレクトリに接続して、ユーザー ID をユーザー名にマッピングします。

コレクターは、ランサムウェア耐性設定で構成されます。

必要なコンソール ロール 疑わしいユーザー アクティビティの検出を有効にするには、組織管理者のロールが必要です。疑わしいユーザー アクティビティに関する後続の構成では、ランサムウェア耐性ユーザー ビヘイビア管理者ロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ"

システム要件

ユーザー アクティビティ エージェントをインストールするには、次の要件を満たすホストまたは VM が必要です。

オペレーティング システム要件

オペレーティング システム サポート対象のバージョン

アルマリナックス

9.4 (64 ビット) から 9.5 (64 ビット)、および 10 (64 ビット) (SELinux を含む)

CentOS

CentOS Stream 9 (64 ビット)

Debian

11 (64 ビット)、12 (64 ビット)、SELinux を含む

OpenSUSE リープ

15.3 (64 ビット) から 15.6 (64 ビット)

Oracle Linux

8.10 (64 ビット)、および 9.1 (64 ビット) から 9.6 (64 ビット) (SELinux を含む)

Red Hat

8.10 (64 ビット)、9.1 (64 ビット) から 9.6 (64 ビット)、および 10 (64 ビット) (SELinux を含む)

ロッキー

Rocky 9.4 (64 ビット) から 9.6 (64 ビット)、SELinux を含む

SUSEエンタープライズLinux

15 SP4 (64 ビット) から 15 SP6 (64 ビット)、SELinux を含む

Ubuntu

20.04 LTS (64 ビット)、22.04 LTS (64 ビット)、24.04 LTS (64 ビット)
メモ ユーザー アクティビティ エージェントに使用するマシンは、他のアプリケーションレベルのソフトウェアを実行しないでください。専用サーバーをお勧めします。

その unzip インストールにはコマンドが必要です。その sudo su - インストール、スクリプトの実行、アンインストールにはコマンドが必要です。

サーバー要件

サーバーは次の最小要件を満たしている必要があります。

  • CPU: 4コア

  • RAM: 16GB RAM

  • ディスク容量: 36 GB の空きディスク容量

メモ ファイルシステムの作成を可能にするために追加のディスク領域を割り当てます。ファイルシステムに少なくとも 35 GB の空き領域があることを確認します。+ もし /opt NAS ストレージからマウントされたフォルダーであるため、ローカル ユーザーはこのフォルダーにアクセスできる必要があります。ローカル ユーザーに必要な権限がない場合、ユーザー アクティビティ エージェントの作成が失敗する可能性があります。
メモ ランサムウェア耐性環境とは別のシステムにユーザー アクティビティ エージェントをインストールすることをお勧めします。同じマシンにインストールする場合は、50 ~ 55 GB のディスク容量を確保する必要があります。Linuxの場合は、25~30GBのスペースを割り当てます。 /opt/netapp 25 GBまで var/log/netapp
ヒント Network Time Protocol (NTP) または Simple Network Time Protocol (SNTP) を使用して、 ONTAPシステムとユーザー アクティビティ エージェント マシンの両方の時刻を同期することをお勧めします。

クラウドネットワークアクセスルール

関連する地域 (アジア太平洋、ヨーロッパ、または米国) のクラウド ネットワーク アクセス ルールを確認します。

APAC ベースのユーザー アクティビティ エージェントの展開

プロトコル ポート ソース デスティネーション 説明

TCP

443

ユーザーアクティビティエージェント

ランサムウェア耐性サービス

ランサムウェア耐性へのアクセス

TCP

443

ユーザーアクティビティエージェント

ランサムウェア耐性サービス

認証サービスへのアクセス

ヨーロッパを拠点とするユーザーアクティビティエージェントの展開

プロトコル ポート ソース デスティネーション 説明

TCP

443

ユーザーアクティビティエージェント

ランサムウェア耐性サービス

ランサムウェア耐性へのアクセス

TCP

443

ユーザーアクティビティエージェント

ランサムウェア耐性サービス

認証サービスへのアクセス

米国ベースのユーザーアクティビティエージェントの展開

プロトコル ポート ソース デスティネーション 説明

TCP

443

ユーザーアクティビティエージェント

ランサムウェア耐性サービス

ランサムウェア耐性へのアクセス

TCP

443

ユーザーアクティビティエージェント

ランサムウェア耐性サービス

認証サービスへのアクセス

ネットワーク内ルール

プロトコル ポート ソース デスティネーション 説明

TCP

389(LDAP) 636 (LDAP / start-tls)

ユーザーアクティビティエージェント

LDAP Server URL

LDAPに接続する

TCP

443

ユーザーアクティビティエージェント

クラスタまたは SVM 管理 IP アドレス (SVM コレクターの構成によって異なります)

ONTAPとのAPI通信

TCP

35000 - 55000

SVMデータLIF IPアドレス

ユーザーアクティビティエージェント

Fpolicy イベントに関するONTAPからユーザー アクティビティ エージェントへの通信。ONTAP がイベントをユーザー アクティビティ エージェントに送信するには、ユーザー アクティビティ エージェントに対してこれらのポートを開く必要があります。これには、ユーザー アクティビティ エージェント自体のファイアウォール(存在する場合)も含まれます。+ 注意: これらのポートをすべて予約する必要はありませんが、予約するポートはこの範囲内である必要があります。まずは 100 個のポートを予約し、必要に応じて増やすことをお勧めします。

TCP

35000-55000

クラスタ管理IP

ユーザーアクティビティエージェント

ONTAPクラスタ管理 IP から EMS イベント のユーザ アクティビティ エージェントへの通信。ONTAP がEMS イベントを送信するには、ユーザ アクティビティ エージェント自体のファイアウォールも含めて、これらのポートをユーザ アクティビティ エージェントに対して開く必要があります。+ 注意: これらのポートをすべて予約する必要はありませんが、予約するポートはこの範囲内である必要があります。まずは 100 個のポートを予約し、必要に応じて増やすことをお勧めします。

SSH

22

ユーザーアクティビティエージェント

クラスタ管理

CIFS/SMB ユーザーのブロックに必要です。

不審なユーザーアクティビティの検出を有効にする

以下の条件を満たしていることを確認してください "システム要件" ユーザー アクティビティ エージェント用。構成がサポートされているクラウド プロバイダーとリージョンに準拠していることを確認します。

クラウドプロバイダーのサポート

疑わしいユーザーアクティビティ データは、次のリージョンの AWS および Azure に保存される可能性があります。

クラウド プロバイダ リージョン

AWS

  • アジア太平洋(シドニー)(ap-southeast-2)

  • ヨーロッパ (フランクフルト) (eu-central-1)

  • 米国東部(バージニア北部)(us-east-1)

Azure

米国東部

ユーザーアクティビティエージェントを追加する

ユーザー アクティビティ エージェントはデータ コレクターの実行可能環境です。データ コレクターはユーザー アクティビティ イベントを Ransomware Resilience と共有します。疑わしいユーザー アクティビティの検出を有効にするには、少なくとも 1 つのユーザー アクティビティ エージェントを作成する必要があります。

手順

  1. ユーザー アクティビティ エージェントを初めて作成する場合は、ダッシュボード に移動してください。ユーザー アクティビティ タイルで、アクティブ化 を選択します。

    追加のユーザー アクティビティ エージェントを追加する場合は、[設定] に移動し、[ユーザー アクティビティ] タイルを見つけて、[管理] を選択します。[ユーザー アクティビティ] 画面で、[ユーザー アクティビティ エージェント] タブを選択し、[追加] を選択します。

  2. クラウド プロバイダー を選択し、次に リージョン を選択します。次へを選択します。

  3. ユーザー アクティビティ エージェントの詳細を入力します。

    • ユーザーアクティビティエージェント名

    • コンソール エージェント - コンソール エージェントは、ユーザー アクティビティ エージェントと同じネットワーク内に存在し、ユーザー アクティビティ エージェントの IP アドレスに SSH 接続できる必要があります。

    • VM DNS名またはIPアドレス

    • VM SSHキー

      アクティビティ エージェントの追加インターフェースのスクリーンショット。

  4. 次へを選択します。

  5. 設定を確認してください。*アクティブ化*を選択して、ユーザー アクティビティ エージェントの追加を完了します。

  6. ユーザー アクティビティ エージェントが正常に作成されたことを確認します。ユーザー アクティビティ タイルに、成功したデプロイメントが「実行中」として表示されます。

結果

ユーザー アクティビティ エージェントが正常に作成されたら、[設定] メニューに戻り、[ユーザー アクティビティ] タイルで [管理] を選択します。ユーザー アクティビティ エージェント タブを選択し、ユーザー アクティビティ エージェントを選択して、データ コレクターやユーザー ディレクトリ コネクタなどの詳細を表示します。

データコレクターを追加する

疑わしいユーザー アクティビティの検出を含むランサムウェア保護戦略を有効にすると、データ コレクターが自動的に作成されます。詳細については、 検出ポリシーを追加する

データコレクターの詳細を表示できます。[設定] から、[ユーザー アクティビティ] タイルの [管理] を選択します。データ コレクター タブを選択し、データ コレクターを選択して詳細を表示するか、一時停止します。

ユーザーアクティビティ設定のスクリーンショット

ユーザーディレクトリコネクタを追加する

ユーザー ID をユーザー名にマップするには、ユーザー ディレクトリ コネクタを作成する必要があります。

手順

  1. Ransomware Resilience で、[設定] に移動します。

  2. ユーザー アクティビティ タイルで、管理 を選択します。

  3. ユーザー ディレクトリ コネクタ タブを選択し、追加 を選択します。

  4. 接続を構成します。各フィールドに必要な情報を入力します。

    フィールド 説明

    名前

    ユーザーディレクトリコネクタの一意の名前を入力します

    ユーザーディレクトリの種類

    ディレクトリタイプ

    サーバーのIPアドレスまたはドメイン名

    接続をホストするサーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN)

    フォレスト名または検索名

    ディレクトリ構造のフォレストレベルを直接ドメイン名として指定することができます(例: unit.company.com) または相対識別名のセット (例: DC=unit,DC=company,DC=com)。また、 OU 組織単位または CN 特定のユーザーに限定する(例: CN=user,OU=engineering,DC=unit,DC=company,DC=com)。

    バインドDN

    BIND DN は、user@domain.com など、ディレクトリの検索が許可されたユーザー アカウントです。ユーザーにはドメイン読み取り専用権限が必要です。

    BINDパスワード

    BIND DNで指定されたユーザーのパスワード

    プロトコル

    プロトコル フィールドはオプションです。LDAP、LDAPS、または LDAP over StartTLS を使用できます。

    ポート

    選択したポート番号を入力してください

    ユーザーディレクトリ接続のスクリーンショット

    属性マッピングの詳細を指定します。

    • 表示名

    • SID (LDAP を使用している場合)

    • ユーザー名

    • Unix ID (NFS を使用している場合)

    • オプションの属性を含める*を選択した場合は、電子メール アドレス、電話番号、役割、州、国、部門、写真、マネージャー DN、またはグループも追加できます。オプションの検索クエリを追加するには、[*詳細] を選択します。

  5. 追加を選択します。

  6. ユーザー ディレクトリ コネクタ タブに戻り、ユーザー ディレクトリ コネクタのステータスを確認します。正常に作成されると、ユーザー ディレクトリ コネクタのステータスは 実行中 と表示されます。

ユーザーディレクトリコネクタを削除する

  1. Ransomware Resilience で、[設定] に移動します。

  2. ユーザー アクティビティ タイルを見つけて、[管理] を選択します。

  3. ユーザー ディレクトリ コネクタ タブを選択します。

  4. 削除するユーザー ディレクトリ コネクタを特定します。行末のアクションメニューで、3つの点を選択します。 `…​`次に削除します。

  5. ポップアップ ダイアログで [削除] を選択して操作を確認します。

不審なユーザーアクティビティアラートに応答する

疑わしいユーザー アクティビティの検出を構成すると、アラート ページでイベントを監視できます。詳細については、以下を参照してください。 "悪意のあるアクティビティや異常なユーザー行動を検出する"