Skip to main content
NetApp Ransomware Resilience
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

NetApp Ransomware Resilience에서 사용자 활동 감지를 위한 에이전트 및 수집기 구성

기여자 netapp-ahibbard
PDF

NetApp Ransomware Resilience 사용자 활동 감지 기능은 사용자 수준의 랜섬웨어 이벤트를 방지하는 데 도움이 됩니다. Ransomware Resilience에서 의심스러운 사용자 행동 감지를 활성화하려면 사용자 활동 에이전트를 하나 이상 설치해야 합니다. 이 에이전트는 랜섬웨어 이벤트와 유사한 이상 패턴에 대해 사용자 행동을 모니터링하는 데이터 수집 환경을 생성합니다.

사용자 활동 에이전트는 데이터 수집기와 사용자 디렉터리 커넥터를 호스팅하며, 이 둘 모두 분석을 위해 SaaS 위치로 데이터를 전송합니다.

  • 데이터 수집기는 ONTAP에서 사용자 활동 데이터를 수집합니다. 데이터 수집기는 사용자 행동 감지 기능을 포함하는 보호 전략을 생성할 때 자동으로 생성됩니다.

  • 사용자 디렉터리 커넥터는 디렉터리에 연결하여 사용자 ID를 사용자 이름에 매핑합니다. 사용자 디렉터리 커넥터를 구성해야 합니다.

사용자 활동 에이전트, 데이터 수집기 및 사용자 디렉터리 커넥터는 모두 Ransomware Resilience 설정 대시보드에서 관리할 수 있습니다.

참고 NetApp Data Infrastructure Insights(DII) Workload Security를 이미 사용 중인 경우 Ransomware Resilience에도 동일한 Workload Security 에이전트를 사용하는 것이 좋습니다. Ransomware Resilience를 위해 별도의 Workload Security 에이전트를 배포할 필요는 없지만, 동일한 Workload Security 에이전트를 사용하려면 Ransomware Resilience Console 조직과 DII Storage Workload Security 테넌트 간의 페어링 관계가 필요합니다. 이 페어링을 활성화하려면 담당 영업 담당자에게 문의하십시오.

+ DII를 사용하지 않는 경우 여기의 구성 지침을 따르십시오.

시작하기 전에

필수 콘솔 역할 의심스러운 사용자 활동 감지를 활성화하려면 Organization admin role이 필요합니다. 이후의 의심스러운 사용자 활동 구성에는 Ransomware Resilience user behavior admin role이 필요합니다. "NetApp Console 의 랜섬웨어 복원력 역할에 대해 알아보세요".

각 역할이 조직 수준에서 적용되도록 하십시오.

사용자 활동 에이전트를 생성합니다

사용자 활동 에이전트는 "데이터 수집기"에 대한 실행 가능한 환경이며, 데이터 수집기는 사용자 활동 이벤트를 Ransomware Resilience와 공유합니다. 의심스러운 사용자 활동 감지를 활성화하려면 최소 하나 이상의 사용자 활동 에이전트를 생성해야 합니다.

단계

  1. 처음으로 사용자 활동 에이전트를 만드는 경우 대시보드로 이동하세요. 사용자 활동 타일에서 활성화를 선택합니다.

    추가 사용자 활동 에이전트를 추가하는 경우 *설정*으로 이동하여 사용자 활동 타일을 찾은 다음 관리를 선택합니다. 사용자 활동 화면에서 사용자 활동 에이전트 탭을 선택한 다음 추가를 선택합니다.

  2. 클라우드 공급자를 선택한 다음 지역을 선택하세요. 다음을 선택하세요.

  3. 사용자 활동 에이전트 세부 정보를 제공하세요.

    • 사용자 활동 에이전트 이름

    • 콘솔 에이전트 - 콘솔 에이전트는 사용자 활동 에이전트와 동일한 네트워크에 있어야 하며 사용자 활동 에이전트의 IP 주소에 대한 SSH 연결이 있어야 합니다.

    • VM DNS 이름 또는 IP 주소

    • VM SSH 키 - 다음 형식을 사용하여 SSH 키를 입력하십시오:

      -----BEGIN OPENSSH PRIVATE KEY-----
private-key-contents
-----END OPENSSH PRIVATE KEY-----

      활동 추가 에이전트 인터페이스의 스크린샷입니다.

  4. 다음을 선택하세요.

  5. 설정을 검토하세요. *활성화*를 선택하여 사용자 활동 에이전트 추가를 완료합니다.

  6. 사용자 활동 에이전트가 성공적으로 생성되었는지 확인하십시오. 사용자 활동 타일에서 배포가 성공하면 Running으로 표시됩니다.

결과

사용자 활동 에이전트가 성공적으로 생성되면 Settings 메뉴로 돌아가서 User activity 타일에서 Manage를 선택합니다. User activity agents 탭을 선택한 다음 해당 사용자 활동 에이전트를 선택하여 데이터 수집기 및 사용자 디렉터리 커넥터를 포함한 세부 정보를 확인합니다.

데이터 수집기 추가

의심스러운 사용자 활동 감지 기능을 포함하는 랜섬웨어 방지 전략을 활성화하면 데이터 수집기가 자동으로 생성됩니다. 자세한 내용은 "탐지 정책 추가"를 참조하십시오.

데이터 수집기의 세부 정보를 볼 수 있습니다. 설정에서 사용자 활동 타일의 관리를 선택합니다. 데이터 수집기 탭을 선택한 다음 데이터 수집기를 선택하여 세부 정보를 보거나 일시 중지합니다.

사용자 활동 설정의 스크린샷.

사용자 디렉터리 커넥터를 생성합니다

사용자 ID를 사용자 이름에 매핑하려면 사용자 디렉토리 커넥터를 만들어야 합니다.

단계

  1. 랜섬웨어 복원력에서 *설정*으로 이동합니다.

  2. 사용자 활동 타일에서 관리를 선택합니다.

  3. 사용자 디렉터리 커넥터 탭을 선택한 다음 추가를 선택합니다.

  4. 연결을 구성합니다. 각 필드에 필요한 정보를 입력하세요.

    필드 설명

    이름

    사용자 디렉토리 커넥터에 대한 고유한 이름을 입력하세요.

    사용자 디렉토리 유형

    디렉토리 유형

    서버 IP 주소 또는 도메인 이름

    연결을 호스팅하는 서버의 IP 주소 또는 FQDN(정규화된 도메인 이름)

    산림명 또는 검색명

    디렉토리 구조의 포리스트 수준을 직접 도메인 이름으로 지정할 수 있습니다(예: unit.company.com) 또는 상대적 고유 이름 세트(예: DC=unit,DC=company,DC=com). 또한 다음을 입력할 수도 있습니다. OU 조직 단위 또는 CN 특정 사용자로 제한하려면(예: CN=user,OU=engineering,DC=unit,DC=company,DC=com).

    바인드 DN

    BIND DN은 user@domain.com과 같이 디렉토리를 검색하도록 허용된 사용자 계정입니다. 사용자에게 도메인 읽기 전용 권한이 필요합니다.

    BIND 비밀번호

    BIND DN에 제공된 사용자의 비밀번호

    규약

    프로토콜 필드는 선택 사항입니다. LDAP, LDAPS 또는 StartTLS를 통한 LDAP를 사용할 수 있습니다.

    포트

    선택한 포트 번호를 입력하세요

    사용자 디렉토리 연결 스크린샷

    속성 매핑 세부 정보를 제공하세요.

    • 표시 이름

    • SID (LDAP를 사용하는 경우)

    • 사용자 이름

    • Unix ID (NFS를 사용하는 경우)

    • *선택적 속성 포함*을 선택하면 이메일 주소, 전화번호, 역할, 주, 국가, 부서, 사진, 관리자 DN 또는 그룹도 추가할 수 있습니다. *고급*을 선택하여 선택적 검색어를 추가하세요.

  5. 추가를 선택합니다.

  6. 사용자 디렉토리 커넥터 탭으로 돌아가서 사용자 디렉토리 커넥터의 상태를 확인하세요. 성공적으로 생성되면 사용자 디렉토리 커넥터의 상태가 *실행 중*으로 표시됩니다.

사용자 디렉토리 커넥터 삭제

단계

  1. 랜섬웨어 복원력에서 *설정*으로 이동합니다.

  2. 사용자 활동 타일을 찾아 관리를 선택합니다.

  3. 사용자 디렉토리 커넥터 탭을 선택합니다.

  4. 삭제하려는 사용자 디렉토리 커넥터를 식별합니다. 줄 끝의 작업 메뉴에서 세 개의 점을 선택하세요. …​ 그런 다음 삭제를 클릭합니다.

  5. 팝업 대화 상자에서 Delete를 선택하여 확인합니다.

알림에서 사용자 제외

특정 신뢰할 수 있는 사용자의 동작이 사용자 동작 알림을 트리거할 수 있는 경우 알림에서 해당 사용자를 제외할 수 있습니다.

단계

  1. 랜섬웨어 복원력에서 설정을 선택하세요.

  2. 설정 대시보드에서 사용자 활동 카드를 찾은 다음 관리를 선택합니다.

  3. 제외된 사용자 탭을 선택합니다.

  4. UI에서 개별 사용자를 검토하려면 수동 선택을 선택하십시오. 제외된 사용자 목록을 업로드하려면 업로드를 선택하십시오.

    1. 수동 선택을 선택한 경우 제외할 특정 사용자 이름 옆의 확인란을 선택하십시오.

    2. 업로드를 선택하면 모든 사용자 목록이 포함된 CSV 또는 JSON 파일을 다운로드할 수 있습니다. 다운로드를 선택하면 목록에 액세스할 수 있습니다.

      로컬 컴퓨터에서 파일을 검토합니다. 탐지를 유지할 모든 사용자의 이름을 제거합니다. 목록에 탐지에서 제외할 사용자의 이름만 포함되면 저장합니다.

    Ransomware Resilience에서 업로드를 선택합니다. 파일을 찾아 업로드합니다.

  5. 추가를 선택하여 제외 목록에 사용자 추가를 완료합니다.

  6. 제외된 사용자 탭에서 사용자 행동 감지 알림에서 제거된 사용자의 이름이 이제 대시보드에 표시됩니다.

팁 알림에서 사용자를 직접 제외할 수도 있습니다. 자세한 내용은 "랜섬웨어 경고에 대응하세요"를 참조하세요.

제외 사용자 목록에서 사용자를 제거합니다

나중에 사용자를 다시 탐지에 추가할 수 있습니다.

단계

  1. 설정 대시보드에서 사용자 활동 카드를 찾은 다음 관리를 선택합니다.

  2. 제외된 사용자 탭을 선택합니다.

  3. 추가를 선택합니다.

  4. UI에서 개별 사용자를 제외하려면 수동으로 선택을 선택하십시오.

  5. 제외된 사용자 선택에서 제거하려는 사용자의 이름을 찾습니다. 사용자 이름이 있는 행에서 작업 메뉴((…​)를 선택한 다음 제거를 선택합니다.

  6. 대화 상자에서 Remove를 선택하여 선택한 사용자를 제거할지 확인합니다.

의심스러운 사용자 활동 알림에 대응

의심스러운 사용자 활동 감지를 구성한 후에는 알림 페이지에서 이벤트를 모니터링할 수 있습니다. 자세한 내용은 "악의적인 활동 및 의심스러운 사용자 행동을 탐지합니다"를 참조하십시오.