NetApp Ransomware Resilience에서 사용자 행동 탐지를 위한 요구 사항
변경 제안
PDF
사용자 활동 에이전트 및 기타 수집기를 생성하기 전에 명시된 운영 체제, 서버 및 네트워크 요구 사항을 충족하는지 확인해야 합니다.
클라우드 공급자 지원
클라우드 공급자 지원
의심스러운 사용자 활동 데이터는 다음 지역의 AWS 및 Azure에 저장될 수 있습니다.
| 클라우드 제공업체 | 지역 |
|---|---|
AWS |
|
하늘빛 |
미국 동부 |
운영 체제 요구 사항
의심스러운 사용자 행동 감지는 다음 운영 체제에서 지원됩니다.
| 운영 체제 | 지원되는 버전 |
|---|---|
알마리눅스 |
9.4(64비트) ~ 9.5(64비트) 및 10(64비트), SELinux 포함 |
센트OS |
CentOS Stream 9(64비트) |
데비안 |
11(64비트), 12(64비트), SELinux 포함 |
오픈수세 리프 |
15.3(64비트) ~ 15.6(64비트) |
오라클 리눅스 |
8.10(64비트) 및 9.1(64비트) ~ 9.6(64비트), SELinux 포함 |
레드햇 |
8.10(64비트), 9.1(64비트) ~ 9.6(64비트), 10(64비트), SELinux 포함 |
불안정한 |
SELinux를 포함한 Rocky 9.4(64비트)부터 9.6(64비트)까지 |
수세 엔터프라이즈 리눅스 |
15 SP4(64비트)부터 15 SP6(64비트), SELinux 포함 |
우분투 |
20.04 LTS(64비트), 22.04 LTS(64비트) 및 24.04 LTS(64비트) |
|
사용자 활동 에이전트에 사용하는 컴퓨터는 다른 응용 프로그램 수준 소프트웨어를 실행하지 않아야 합니다. 전용 서버를 권장합니다. |
그만큼 unzip 설치를 위해서는 명령어가 필요합니다. 그만큼 sudo su - 설치, 스크립트 실행 및 제거에는 명령어가 필요합니다.
서버 요구 사항
서버는 다음과 같은 최소 요구 사항을 충족해야 합니다.
-
CPU: 4코어
-
RAM: 16GB RAM
-
디스크 공간: 36GB의 여유 디스크 공간
서버 권장 사항
-
파일 시스템 생성을 위해 추가 디스크 공간을 할당하십시오. 파일 시스템에 최소 35GB의 여유 공간이 있는지 확인하십시오. + 만약
/optNAS 저장소에서 마운트된 폴더이므로 로컬 사용자는 이 폴더에 대한 접근 권한이 있어야 합니다. 로컬 사용자에게 필요한 권한이 없는 경우 사용자 활동 에이전트 생성이 실패할 수 있습니다. -
사용자 활동 에이전트는 Ransomware Resilience 환경과는 별도의 시스템에 설치하는 것이 좋습니다. 같은 시스템에 설치하는 경우 50~55GB의 디스크 공간을 허용해야 합니다. Linux의 경우 `/opt/netapp`에 25~30GB, `var/log/netapp`에 25GB의 공간을 할당하십시오.
-
ONTAP 시스템과 사용자 활동 에이전트 시스템의 시간을 네트워크 시간 프로토콜(NTP) 또는 단순 네트워크 시간 프로토콜(SNTP)을 사용하여 동기화하는 것이 좋습니다.
클라우드 네트워크 액세스 규칙
해당 지역(아시아 태평양, 유럽 또는 미국)의 클라우드 네트워크 액세스 규칙을 검토하십시오.
|
초기 설치 시 <site_name>`를 와일드카드 (*` 권한으로 바꾸십시오. 에이전트가 활성화되어 완전히 작동되면 권한을 사이트 이름으로 바꿀 수 있습니다. 사이트 이름은 NetApp 담당자에게 문의하십시오.
|
|
|
사용자 활동 에이전트는 NetApp Data Infrastructure Insights 기술을 사용하므로 cloudinsights 엔드포인트를 사용합니다. 자세한 내용은 다음을 참조하십시오
|
APAC 기반 사용자 활동 에이전트 배포
| 규약 | 포트 | 원천 | 목적지 | 설명 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
사용자 활동 에이전트 |
|
랜섬웨어 복원력에 대한 접근성 |
유럽 기반 사용자 활동 에이전트 배포
| 규약 | 포트 | 원천 | 목적지 | 설명 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
사용자 활동 에이전트 |
|
랜섬웨어 복원력에 대한 접근성 |
미국 기반 사용자 활동 에이전트 배포
| 규약 | 포트 | 원천 | 목적지 | 설명 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
사용자 활동 에이전트 |
|
랜섬웨어 복원력에 대한 접근성 |
네트워크 내 규칙
| 규약 | 포트 | 원천 | 목적지 | 설명 |
|---|---|---|---|---|
TCP |
389(LDAP) 636(LDAP/start-tls) |
사용자 활동 에이전트 |
LDAP 서버 URL |
LDAP에 연결 |
HTTPS(TCP) |
443 |
사용자 활동 에이전트 |
클러스터 또는 SVM 관리 IP 주소(SVM 컬렉터 구성에 따라 다름) |
ONTAP 과의 API 통신 |
TCP |
35000 - 55000 |
SVM 데이터 LIF IP 주소 |
사용자 활동 에이전트 |
Fpolicy 이벤트에 대한 ONTAP 에서 사용자 활동 에이전트로의 통신. ONTAP 사용자 활동 에이전트로 이벤트를 전송하려면 사용자 활동 에이전트 방향으로 이러한 포트가 열려 있어야 하며, 사용자 활동 에이전트 자체에 방화벽이 있는 경우에도 마찬가지입니다(있는 경우). + 참고: 이 포트들을 모두 예약할 필요는 없지만, 예약하는 포트는 반드시 이 범위 내에 있어야 합니다. 우선 100개의 포트를 예약하고 필요에 따라 늘리는 것이 좋습니다. |
TCP |
35000-55000 |
클러스터 관리 IP |
사용자 활동 에이전트 |
ONTAP 클러스터 관리 IP에서 사용자 활동 에이전트로의 EMS 이벤트 통신. ONTAP EMS 이벤트를 사용자 활동 에이전트로 전송하려면 사용자 활동 에이전트 자체의 방화벽을 포함하여 이러한 포트가 사용자 활동 에이전트 방향으로 열려 있어야 합니다. + 참고: 이 포트들을 모두 예약할 필요는 없지만, 예약하는 포트는 반드시 이 범위 내에 있어야 합니다. 우선 100개의 포트를 예약하고 필요에 따라 늘리는 것이 좋습니다. |
SSH |
22 |
사용자 활동 에이전트 |
클러스터 관리 |
CIFS/SMB 사용자 차단에 필요합니다. |