日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetApp Ransomware Resilienceで疑わしいユーザーアクティビティの検出を構成する

12/09/2025 共同作成者

ランサムウェア耐性は、検出ポリシーで疑わしいユーザー行動の検出をサポートし、ユーザーレベルでランサムウェアインシデントに対処できるようにします。

Ransomware Resilience は、 ONTAPの FPolicy によって生成されたユーザーアクティビティイベントを分析して、疑わしいユーザーアクティビティを検出します。ユーザーアクティビティデータを収集するには、1 つ以上のユーザーアクティビティエージェントを展開する必要があります。エージェントは、テナント上のデバイスに接続できる Linux サーバーまたは VM です。

エージェントとコレクター

Ransomware Resilience で疑わしいユーザーアクティビティの検出を有効にするには、少なくとも 1 つのユーザーアクティビティエージェントをインストールする必要があります。ランサムウェア耐性ダッシュボードから疑わしいユーザーアクティビティ機能を有効にする場合は、エージェントホスト情報を提供する必要があります。

エージェントは複数のデータコレクターをホストできます。データコレクターは、分析のためにデータを SaaS の場所に送ります。コレクターには 2 つの種類があります。

データコレクター は、 ONTAPからユーザーアクティビティデータを収集します。
ユーザーディレクトリコネクタ はディレクトリに接続して、ユーザー ID をユーザー名にマッピングします。

コレクターは、ランサムウェア耐性設定で構成されます。

不審なユーザーアクティビティの検出を有効にする

必要なコンソールロール 疑わしいユーザーアクティビティの検出を有効にするには、組織管理者のロールが必要です。疑わしいユーザーアクティビティに関する後続の構成では、ランサムウェア耐性ユーザービヘイビア管理者ロールが必要です。"NetApp Consoleのランサムウェア耐性ロールについて学ぶ"。

ユーザーアクティビティエージェントを追加する

ユーザーアクティビティエージェントはデータコレクターの実行可能環境です。データコレクターはユーザーアクティビティイベントを Ransomware Resilience と共有します。疑わしいユーザーアクティビティの検出を有効にするには、少なくとも 1 つのユーザーアクティビティエージェントを作成する必要があります。

要件

ユーザーアクティビティエージェントをインストールするには、次のサポートされているオペレーティングシステムとサーバーの要件を満たすホストまたは VM が必要です。

オペレーティングシステム要件

オペレーティングシステム	サポート対象のバージョン
アルマリナックス	9.4 (64 ビット) から 9.5 (64 ビット)、および 10 (64 ビット) (SELinux を含む)
CentOS	CentOS Stream 9 (64 ビット)
Debian	11 (64 ビット)、12 (64 ビット)、SELinux を含む
OpenSUSE リープ	15.3 (64 ビット) から 15.6 (64 ビット)
Oracle Linux	8.10 (64 ビット)、および 9.1 (64 ビット) から 9.6 (64 ビット) (SELinux を含む)
Red Hat	8.10 (64 ビット)、9.1 (64 ビット) から 9.6 (64 ビット)、および 10 (64 ビット) (SELinux を含む)
ロッキー	Rocky 9.4 (64 ビット) から 9.6 (64 ビット)、SELinux を含む
SUSEエンタープライズLinux	15 SP4 (64 ビット) から 15 SP6 (64 ビット)、SELinux を含む
Ubuntu	20.04 LTS (64 ビット)、22.04 LTS (64 ビット)、24.04 LTS (64 ビット)

オペレーティングシステム

サポート対象のバージョン

アルマリナックス

9.4 (64 ビット) から 9.5 (64 ビット)、および 10 (64 ビット) (SELinux を含む)

CentOS

CentOS Stream 9 (64 ビット)

Debian

11 (64 ビット)、12 (64 ビット)、SELinux を含む

OpenSUSE リープ

15.3 (64 ビット) から 15.6 (64 ビット)

Oracle Linux

8.10 (64 ビット)、および 9.1 (64 ビット) から 9.6 (64 ビット) (SELinux を含む)

Red Hat

8.10 (64 ビット)、9.1 (64 ビット) から 9.6 (64 ビット)、および 10 (64 ビット) (SELinux を含む)

ロッキー

Rocky 9.4 (64 ビット) から 9.6 (64 ビット)、SELinux を含む

SUSEエンタープライズLinux

15 SP4 (64 ビット) から 15 SP6 (64 ビット)、SELinux を含む

Ubuntu

20.04 LTS (64 ビット)、22.04 LTS (64 ビット)、24.04 LTS (64 ビット)

サーバー要件

サーバーは次の最小要件を満たしている必要があります。

CPU: 4コア
RAM: 16GB RAM
ディスク容量: 35 GB の空きディスク容量

クラウドプロバイダーのサポート

疑わしいユーザーアクティビティデータは、次のリージョンの AWS および Azure に保存される可能性があります。

クラウドプロバイダ	リージョン
AWS	アジア太平洋（シドニー）（ap-southeast-2）ヨーロッパ (フランクフルト) (eu-central-1) 米国東部（バージニア北部）（us-east-1）
Azure	米国東部

クラウドプロバイダ

リージョン

AWS

アジア太平洋（シドニー）（ap-southeast-2）
ヨーロッパ (フランクフルト) (eu-central-1)
米国東部（バージニア北部）（us-east-1）

Azure

米国東部

手順

ユーザーアクティビティエージェントを初めて作成する場合は、ダッシュボード に移動してください。ユーザーアクティビティ タイルで、アクティブ化 を選択します。

追加のユーザーアクティビティエージェントを追加する場合は、[設定] に移動し、[ユーザーアクティビティ] タイルを見つけて、[管理] を選択します。[ユーザーアクティビティ] 画面で、[ユーザーアクティビティエージェント] タブを選択し、[追加] を選択します。
クラウドプロバイダー を選択し、次に リージョン を選択します。次へを選択します。
ユーザーアクティビティエージェントの詳細を入力します。
- ユーザーアクティビティエージェント名
- コンソールエージェント - コンソールエージェントは、ユーザーアクティビティエージェントと同じネットワーク内に存在し、ユーザーアクティビティエージェントの IP アドレスに SSH 接続できる必要があります。
- VM DNS名またはIPアドレス
- VM SSHキー
次へを選択します。
設定を確認してください。*アクティブ化*を選択して、ユーザーアクティビティエージェントの追加を完了します。
ユーザーアクティビティエージェントが正常に作成されたことを確認します。ユーザーアクティビティタイルに、成功したデプロイメントが「実行中」として表示されます。

結果

ユーザーアクティビティエージェントが正常に作成されたら、[設定] メニューに戻り、[ユーザーアクティビティ] タイルで [管理] を選択します。ユーザーアクティビティエージェント タブを選択し、ユーザーアクティビティエージェントを選択して、データコレクターやユーザーディレクトリコネクタなどの詳細を表示します。

データコレクターを追加する

疑わしいユーザーアクティビティの検出を含むランサムウェア保護戦略を有効にすると、データコレクターが自動的に作成されます。詳細については、検出ポリシーを追加する。

データコレクターの詳細を表示できます。[設定] から、[ユーザーアクティビティ] タイルの [管理] を選択します。データコレクター タブを選択し、データコレクターを選択して詳細を表示するか、一時停止します。

ユーザーアクティビティ設定のスクリーンショット

ユーザーディレクトリコネクタを追加する

ユーザー ID をユーザー名にマップするには、ユーザーディレクトリコネクタを作成する必要があります。

手順

Ransomware Resilience で、[設定] に移動します。
ユーザーアクティビティタイルで、管理を選択します。
ユーザーディレクトリコネクタ タブを選択し、追加を選択します。

接続を構成します。各フィールドに必要な情報を入力します。

フィールド説明

フィールド	説明
名前	ユーザーディレクトリコネクタの一意の名前を入力します
ユーザーディレクトリの種類	ディレクトリタイプ
サーバーのIPアドレスまたはドメイン名	接続をホストするサーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN)
フォレスト名または検索名	ディレクトリ構造のフォレストレベルを直接ドメイン名として指定することができます（例： `unit.company.com`) または相対識別名のセット (例: `DC=unit,DC=company,DC=com`）。また、 `OU` 組織単位または `CN` 特定のユーザーに限定する（例： `CN=user,OU=engineering,DC=unit,DC=company,DC=com`）。
バインドDN	BIND DN は、user@domain.com など、ディレクトリの検索が許可されたユーザーアカウントです。ユーザーにはドメイン読み取り専用権限が必要です。
BINDパスワード	BIND DNで指定されたユーザーのパスワード
プロトコル	プロトコルフィールドはオプションです。LDAP、LDAPS、または LDAP over StartTLS を使用できます。
ポート	選択したポート番号を入力してください

名前

ユーザーディレクトリコネクタの一意の名前を入力します

ユーザーディレクトリの種類

ディレクトリタイプ

サーバーのIPアドレスまたはドメイン名

接続をホストするサーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN)

フォレスト名または検索名

ディレクトリ構造のフォレストレベルを直接ドメイン名として指定することができます（例： unit.company.com) または相対識別名のセット (例: DC=unit,DC=company,DC=com）。また、 OU 組織単位または CN 特定のユーザーに限定する（例： CN=user,OU=engineering,DC=unit,DC=company,DC=com）。

バインドDN

BIND DN は、user@domain.com など、ディレクトリの検索が許可されたユーザーアカウントです。ユーザーにはドメイン読み取り専用権限が必要です。

BINDパスワード

BIND DNで指定されたユーザーのパスワード

プロトコル

プロトコルフィールドはオプションです。LDAP、LDAPS、または LDAP over StartTLS を使用できます。

ポート

選択したポート番号を入力してください

ユーザーディレクトリ接続のスクリーンショット

属性マッピングの詳細を指定します。

表示名
SID (LDAP を使用している場合)
ユーザー名
Unix ID (NFS を使用している場合)
オプションの属性を含める*を選択した場合は、電子メールアドレス、電話番号、役割、州、国、部門、写真、マネージャー DN、またはグループも追加できます。オプションの検索クエリを追加するには、[*詳細] を選択します。

追加を選択します。
ユーザーディレクトリコネクタタブに戻り、ユーザーディレクトリコネクタのステータスを確認します。正常に作成されると、ユーザーディレクトリコネクタのステータスは 実行中 と表示されます。

ユーザーディレクトリコネクタを削除する

Ransomware Resilience で、[設定] に移動します。
ユーザーアクティビティタイルを見つけて、[管理] を選択します。
ユーザーディレクトリコネクタ タブを選択します。
削除するユーザーディレクトリコネクタを特定します。行末のアクションメニューで、3つの点を選択します。 `…`次に削除します。
ポップアップダイアログで [削除] を選択して操作を確認します。

不審なユーザーアクティビティアラートに応答する

疑わしいユーザーアクティビティの検出を構成すると、アラートページでイベントを監視できます。詳細については、以下を参照してください。 "悪意のあるアクティビティや異常なユーザー行動を検出する" 。