Skip to main content
NetApp Ransomware Resilience
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

NetApp Ransomware Resilience 에서 의심스러운 사용자 활동 감지 구성

기여자 netapp-ahibbard
PDF

랜섬웨어 복원력은 탐지 정책에서 의심스러운 사용자 행동을 탐지하도록 지원하여 사용자 수준에서 랜섬웨어 사고를 해결할 수 있도록 합니다.

랜섬웨어 복원력은 ONTAP 의 FPolicy가 생성한 사용자 활동 이벤트를 분석하여 의심스러운 사용자 활동을 감지합니다. 사용자 활동 날짜를 수집하려면 하나 이상의 사용자 활동 에이전트를 배포해야 합니다. 에이전트는 테넌트의 장치에 연결할 수 있는 Linux 서버 또는 VM입니다.

에이전트와 수집가

Ransomware Resilience에서 의심스러운 사용자 활동 감지를 활성화하려면 최소 하나 이상의 사용자 활동 에이전트를 설치해야 합니다. 랜섬웨어 복원력 대시보드에서 의심스러운 사용자 활동 기능을 활성화하는 경우, 해당 기능을 활성화하려면 에이전트 호스트 정보를 제공해야 합니다.

에이전트는 여러 개의 데이터 수집기를 호스팅할 수 있습니다. 데이터 수집자는 분석을 위해 SaaS 위치로 데이터를 보냅니다. 수집가에는 두 가지 유형이 있습니다.

  • 데이터 수집기는 ONTAP 에서 사용자 활동 데이터를 수집합니다.

  • 사용자 디렉토리 커넥터는 디렉토리에 연결하여 사용자 ID를 사용자 이름에 매핑합니다.

수집기는 랜섬웨어 복원력 설정에서 구성됩니다.

의심스러운 사용자 활동 감지 활성화

필수 콘솔 역할 이 작업을 수행하려면 랜섬웨어 복원력 사용자 동작 관리자 역할이 필요합니다. "모든 서비스에 대한 콘솔 액세스 역할에 대해 알아보세요." .

사용자 활동 에이전트 추가

사용자 활동 에이전트는 데이터 수집기를 위한 실행 가능한 환경이며, 데이터 수집기는 Ransomware Resilience와 사용자 활동 이벤트를 공유합니다. 의심스러운 사용자 활동을 감지하려면 최소한 하나의 사용자 활동 에이전트를 만들어야 합니다.

요구 사항

사용자 활동 에이전트를 설치하려면 다음 지원되는 운영 체제 및 서버 요구 사항을 갖춘 호스트 또는 VM이 필요합니다.

운영 체제 요구 사항

운영 체제

지원되는 버전

알마리눅스

9.4(64비트) ~ 9.5(64비트) 및 10(64비트), SELinux 포함

센트OS

CentOS Stream 9(64비트)

데비안

11(64비트), 12(64비트), SELinux 포함

오픈수세 리프

15.3(64비트) ~ 15.6(64비트)

오라클 리눅스

8.10(64비트) 및 9.1(64비트) ~ 9.6(64비트), SELinux 포함

레드햇

8.10(64비트), 9.1(64비트) ~ 9.6(64비트), 10(64비트), SELinux 포함

불안정한

SELinux를 포함한 Rocky 9.4(64비트)부터 9.6(64비트)까지

수세 엔터프라이즈 리눅스

15 SP4(64비트)부터 15 SP6(64비트), SELinux 포함

우분투

20.04 LTS(64비트), 22.04 LTS(64비트) 및 24.04 LTS(64비트)

서버 요구 사항

서버는 다음과 같은 최소 요구 사항을 충족해야 합니다.

  • CPU: 4코어

  • RAM: 16GB RAM

  • 디스크 공간: 35GB의 여유 디스크 공간

단계

  1. 처음으로 사용자 활동 에이전트를 만드는 경우 대시보드로 이동하세요. 사용자 활동 타일에서 활성화를 선택합니다.

    추가 사용자 활동 에이전트를 추가하는 경우 *설정*으로 이동하여 사용자 활동 타일을 찾은 다음 관리를 선택합니다. 사용자 활동 화면에서 사용자 활동 에이전트 탭을 선택한 다음 추가를 선택합니다.

  2. 클라우드 공급자를 선택한 다음 지역을 선택하세요. 다음을 선택하세요.

  3. 사용자 활동 에이전트 세부 정보를 제공하세요.

    • 사용자 활동 에이전트 이름

    • 콘솔 에이전트 - 콘솔 에이전트는 사용자 활동 에이전트와 동일한 네트워크에 있어야 하며 사용자 활동 에이전트 IP 주소에 대한 SSH 연결이 있어야 합니다.

    • VM DNS 이름 또는 IP 주소

    • VM SSH 키

      활동 추가 에이전트 인터페이스의 스크린샷입니다.

  4. 다음을 선택하세요.

  5. 설정을 검토하세요. *활성화*를 선택하여 사용자 활동 에이전트 추가를 완료합니다.

  6. 사용자 활동 에이전트가 성공적으로 생성되었는지 확인하세요. 사용자 활동 타일에서 배포가 성공하면 '실행 중'으로 표시됩니다.

결과

사용자 활동 에이전트가 성공적으로 생성되면 설정 메뉴로 돌아간 다음 사용자 활동 타일에서 관리를 선택합니다. 사용자 활동 에이전트 탭을 선택한 다음 사용자 활동 에이전트를 선택하여 데이터 수집기 및 사용자 디렉터리 커넥터를 포함한 해당 에이전트에 대한 세부 정보를 확인합니다.

데이터 수집기 추가

의심스러운 사용자 활동 감지를 통해 랜섬웨어 보호 전략을 활성화하면 데이터 수집기가 자동으로 생성됩니다. 자세한 내용은 다음을 참조하세요. 탐지 정책 추가 .

데이터 수집기의 세부 정보를 볼 수 있습니다. 설정에서 사용자 활동 타일의 관리를 선택합니다. 데이터 수집기 탭을 선택한 다음 데이터 수집기를 선택하여 세부 정보를 보거나 일시 중지합니다.

사용자 활동 설정 스크린샷

사용자 디렉토리 커넥터 추가

사용자 ID를 사용자 이름에 매핑하려면 사용자 디렉토리 커넥터를 만들어야 합니다.

단계

  1. 랜섬웨어 복원력에서 *설정*으로 이동합니다.

  2. 사용자 활동 타일에서 관리를 선택합니다.

  3. 사용자 디렉터리 커넥터 탭을 선택한 다음 추가를 선택합니다.

  4. 연결에 대한 세부 정보를 제공하세요.

    • 이름

    • 사용자 디렉토리 유형

    • 서버 IP 주소 또는 도메인 이름

    • 산림명 또는 검색명

    • BIND 도메인 이름

    • BIND 비밀번호

    • 프로토콜 (선택 사항입니다)

    • 포트

      사용자 디렉토리 연결 스크린샷

    속성 매핑 세부 정보를 제공하세요.

    • 표시 이름

    • SID (LDAP를 사용하는 경우)

    • 사용자 이름

    • Unix ID (NFS를 사용하는 경우)

    • *선택적 속성 포함*을 선택하세요. 이메일 주소, 전화번호, 역할, 주, 국가, 부서, 사진, 관리자 DN 또는 그룹을 포함할 수도 있습니다.

      *고급*을 선택하여 선택적 검색어를 추가하세요.

  5. 추가를 선택합니다.

  6. 사용자 디렉토리 커넥터 탭으로 돌아가서 사용자 디렉토리 커넥터의 상태를 확인하세요. 성공적으로 생성되면 사용자 디렉토리 커넥터의 상태가 *실행 중*으로 표시됩니다.

사용자 디렉토리 커넥터 삭제

  1. 랜섬웨어 복원력에서 *설정*으로 이동합니다.

  2. 사용자 활동 타일을 찾아 관리를 선택합니다.

  3. 사용자 디렉토리 커넥터 탭을 선택합니다.

  4. 삭제하려는 사용자 디렉토리 커넥터를 식별합니다. 줄 끝의 작업 메뉴에서 세 개의 점을 선택하세요. …​ 그런 다음 삭제를 클릭합니다.

  5. 팝업 대화 상자에서 삭제를 선택하여 작업을 확인합니다.

의심스러운 사용자 활동 알림에 대응

의심스러운 사용자 활동 감지를 구성한 후 알림 페이지에서 이벤트를 모니터링할 수 있습니다. 자세한 내용은 다음을 참조하세요. "악성 활동 및 비정상적인 사용자 동작 감지" .