Skip to main content
NetApp Ransomware Resilience
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

NetApp Ransomware Resilience에서 사용자 활동 감지를 구성합니다

기여자 netapp-ahibbard

NetApp Ransomware Resilience 사용자 동작 감지 기능은 사용자 수준의 랜섬웨어 이벤트를 방지하는 데 도움이 됩니다. Ransomware Resilience에서 사용자 동작 감지를 활성화하려면 하나 이상의 사용자 활동 에이전트를 설치해야 합니다. 이 에이전트는 랜섬웨어 이벤트와 유사한 비정상적인 패턴에 대해 사용자 동작을 모니터링하는 데이터 수집 환경을 생성합니다.

사용자 활동 에이전트는 데이터 수집기와 사용자 디렉터리 커넥터를 호스팅하며, 이 둘 모두 분석을 위해 SaaS 위치로 데이터를 전송합니다.

  • 데이터 수집기는 ONTAP에서 사용자 활동 데이터를 수집합니다. 데이터 수집기는 사용자 행동 감지 기능을 포함하는 보호 전략을 생성할 때 자동으로 생성됩니다.

  • 사용자 디렉터리 커넥터는 디렉터리에 연결하여 사용자 ID를 사용자 이름에 매핑합니다. 사용자 디렉터리 커넥터를 구성해야 합니다.

사용자 활동 에이전트, 데이터 수집기 및 사용자 디렉터리 커넥터는 모두 Ransomware Resilience 설정 대시보드에서 관리할 수 있습니다.

참고 NetApp Data Infrastructure Insights(DII) Workload Security를 이미 사용 중인 경우 Ransomware Resilience에도 동일한 Workload Security 에이전트를 사용하는 것이 좋습니다. Ransomware Resilience를 위해 별도의 Workload Security 에이전트를 배포할 필요는 없지만, 동일한 Workload Security 에이전트를 사용하려면 Ransomware Resilience Console 조직과 DII Storage Workload Security 테넌트 간의 페어링 관계가 필요합니다. 이 페어링을 활성화하려면 담당 영업 담당자에게 문의하십시오.

DII를 사용하지 않는 경우 여기의 구성 지침을 따르십시오.

시작하기 전에

필수 Console 역할 사용자 행동 감지를 활성화하려면 조직 관리자 역할이 필요합니다. 이후 사용자 행동 감지 구성을 위해서는 NetApp Ransomware Resilience 사용자 행동 관리자 역할이 필요합니다. "NetApp Console 의 랜섬웨어 복원력 역할에 대해 알아보세요".

각 역할이 조직 수준에서 적용되도록 하십시오.

사용자 활동 에이전트를 생성합니다

사용자 활동 에이전트는 "데이터 수집기"에 대한 실행 가능한 환경이며, 데이터 수집기는 사용자 활동 이벤트를 Ransomware Resilience와 공유합니다. 사용자 활동 감지를 활성화하려면 최소 하나 이상의 사용자 활동 에이전트를 생성해야 합니다.

단계
  1. 처음으로 사용자 활동 에이전트를 만드는 경우 대시보드로 이동하세요. 사용자 활동 타일에서 활성화를 선택합니다.

    추가 사용자 활동 에이전트를 추가하는 경우 *설정*으로 이동하여 사용자 활동 타일을 찾은 다음 관리를 선택합니다. 사용자 활동 화면에서 사용자 활동 에이전트 탭을 선택한 다음 추가를 선택합니다.

  2. 클라우드 공급자를 선택한 다음 지역을 선택하세요. 다음을 선택하세요.

  3. 사용자 활동 에이전트 세부 정보를 제공하세요.

    • 사용자 활동 에이전트 이름

    • 콘솔 에이전트 - 콘솔 에이전트는 사용자 활동 에이전트와 동일한 네트워크에 있어야 하며 사용자 활동 에이전트의 IP 주소에 대한 SSH 연결이 있어야 합니다.

    • VM DNS 이름 또는 IP 주소

    • VM SSH 키 - 다음 형식을 사용하여 SSH 키를 입력하십시오:

      -----BEGIN OPENSSH PRIVATE KEY-----
      private-key-contents
      -----END OPENSSH PRIVATE KEY-----

      활동 추가 에이전트 인터페이스의 스크린샷입니다.

  4. 다음을 선택하세요.

  5. 설정을 검토하세요. *활성화*를 선택하여 사용자 활동 에이전트 추가를 완료합니다.

  6. 사용자 활동 에이전트가 성공적으로 생성되었는지 확인하십시오. 사용자 활동 모니터링 타일에서 배포가 성공하면 실행 중으로 표시됩니다.

결과

사용자 활동 에이전트가 성공적으로 생성되면 설정 메뉴로 돌아가서 사용자 활동 모니터링 타일에서 관리를 선택합니다. 사용자 활동 에이전트 탭을 선택한 다음 해당 사용자 활동 에이전트를 선택하여 데이터 수집기 및 사용자 디렉터리 커넥터를 포함한 세부 정보를 확인합니다.

데이터 수집기 추가

사용자 활동 감지 기능을 포함하는 랜섬웨어 보호 전략을 활성화하면 데이터 수집기가 자동으로 생성됩니다. 자세한 내용은 "탐지 정책 추가"를 참조하십시오.

데이터 수집기의 세부 정보를 확인할 수 있습니다. 설정에서 사용자 활동 모니터링 타일의 관리를 선택합니다. 데이터 수집기 탭을 선택한 다음, 세부 정보를 보거나 일시 중지할 데이터 수집기를 선택합니다.

사용자 활동 설정의 스크린샷.

사용자 디렉터리 커넥터를 생성합니다

사용자 ID를 사용자 이름에 매핑하려면 사용자 디렉토리 커넥터를 만들어야 합니다.

단계
  1. 랜섬웨어 복원력에서 *설정*으로 이동합니다.

  2. 사용자 활동 모니터링 타일에서 관리를 선택합니다.

  3. 사용자 디렉터리 커넥터 탭을 선택한 다음 추가를 선택합니다.

  4. 연결을 구성합니다. 각 필드에 필요한 정보를 입력하세요.

    필드 설명

    이름

    사용자 디렉토리 커넥터에 대한 고유한 이름을 입력하세요.

    사용자 디렉토리 유형

    디렉토리 유형

    서버 IP 주소 또는 도메인 이름

    연결을 호스팅하는 서버의 IP 주소 또는 FQDN(정규화된 도메인 이름)

    산림명 또는 검색명

    디렉토리 구조의 포리스트 수준을 직접 도메인 이름으로 지정할 수 있습니다(예: unit.company.com) 또는 상대적 고유 이름 세트(예: DC=unit,DC=company,DC=com). 또한 다음을 입력할 수도 있습니다. OU 조직 단위 또는 CN 특정 사용자로 제한하려면(예: CN=user,OU=engineering,DC=unit,DC=company,DC=com).

    바인드 DN

    BIND DN은 user@domain.com과 같이 디렉토리를 검색하도록 허용된 사용자 계정입니다. 사용자에게 도메인 읽기 전용 권한이 필요합니다.

    BIND 비밀번호

    BIND DN에 제공된 사용자의 비밀번호

    규약

    프로토콜 필드는 선택 사항입니다. LDAP, LDAPS 또는 StartTLS를 통한 LDAP를 사용할 수 있습니다.

    포트

    선택한 포트 번호를 입력하세요

    사용자 디렉토리 연결 스크린샷

    속성 매핑 세부 정보를 제공하세요.

    • 표시 이름

    • SID (LDAP를 사용하는 경우)

    • 사용자 이름

    • Unix ID (NFS를 사용하는 경우)

    • *선택적 속성 포함*을 선택하면 이메일 주소, 전화번호, 역할, 주, 국가, 부서, 사진, 관리자 DN 또는 그룹도 추가할 수 있습니다. *고급*을 선택하여 선택적 검색어를 추가하세요.

  5. 추가를 선택합니다.

  6. 사용자 디렉토리 커넥터 탭으로 돌아가서 사용자 디렉토리 커넥터의 상태를 확인하세요. 성공적으로 생성되면 사용자 디렉토리 커넥터의 상태가 *실행 중*으로 표시됩니다.

사용자 디렉토리 커넥터 삭제

단계
  1. Ransomware Resilience에서 *설정*을 선택합니다.

  2. 사용자 활동 모니터링 타일을 찾아서 관리를 선택합니다.

  3. 사용자 디렉토리 커넥터 탭을 선택합니다.

  4. 삭제하려는 사용자 디렉토리 커넥터를 식별합니다. 줄 끝의 작업 메뉴에서 세 개의 점을 선택하세요. …​ 그런 다음 삭제를 클릭합니다.

  5. 팝업 대화 상자에서 Delete를 선택하여 확인합니다.

사용자 활동 알림에 응답합니다

사용자 활동 감지를 구성한 후에는 알림 페이지에서 이벤트를 모니터링할 수 있습니다. 자세한 내용은 "악의적인 활동 및 의심스러운 사용자 행동을 탐지합니다"를 참조하십시오.