Skip to main content
NetApp Ransomware Resilience
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Requisitos de detecção de atividade do usuário para NetApp Ransomware Resilience

Colaboradores netapp-ahibbard
PDFs

NetApp Ransomware Resilience a detecção de comportamento do usuário permite que você responda a eventos de ransomware em nível de usuário. Você deve criar um conjunto de agentes para habilitar a detecção de comportamento do usuário. Antes de habilitar a detecção, você deve garantir que atenda aos requisitos de sistema operacional, servidor e rede descritos para que o Ransomware Resilience possa detectar e relatar eventos corretamente.

A detecção do comportamento do usuário é suportada no Ransomware Resilience para cargas de trabalho em sistemas ONTAP locais, bem como Amazon FsxN para NetApp ONTAP e sistemas Cloud Volumes ONTAP que estejam alinhados com Suporte do provedor de nuvem.

Suporte do provedor de nuvem

Os dados de comportamento do usuário podem ser armazenados na AWS e no Azure nas seguintes regiões:

Provedor de nuvem Região

AWS

  • Ásia-Pacífico (Sydney) (ap-sudeste-2)

  • Europa (Frankfurt) (eu-central-1)

  • Leste dos EUA (Norte da Virgínia) (us-east-1)

Azul

Leste dos EUA

Requisitos do sistema operacional

A detecção de comportamentos suspeitos do usuário é compatível com os seguintes sistemas operacionais:

Sistema operacional Versões suportadas

Alma Linux

9.4 (64 bits) a 9.5 (64 bits) e 10 (64 bits), incluindo SELinux

CentOS

CentOS Stream 9 (64 bits)

Debian

11 (64 bits), 12 (64 bits), incluindo SELinux

OpenSUSE Leap

15.3 (64 bits) a 15.6 (64 bits)

Oracle Linux

8.10 (64 bits) e 9.1 (64 bits) até 9.6 (64 bits), incluindo SELinux

Chapéu Vermelho

8.10 (64 bits), 9.1 (64 bits) até 9.6 (64 bits) e 10 (64 bits), incluindo SELinux

Rochoso

Rocky 9.4 (64 bits) até 9.6 (64 bits), incluindo SELinux

SUSE Enterprise Linux

15 SP4 (64 bits) a 15 SP6 (64 bits), incluindo SELinux

Ubuntu

20,04 LTS (64 bits), 22,04 LTS (64 bits) e 24,04 LTS (64 bits)
Observação A máquina que você usa para o agente de atividade do usuário não deve estar executando nenhum outro software de nível de aplicativo. Um servidor dedicado é recomendado.

O unzip É necessário um comando para a instalação. O sudo su - O comando é necessário para instalação, execução de scripts e desinstalação.

Requisitos do servidor

O servidor deve atender aos seguintes requisitos mínimos:

  • CPU: 4 núcleos

  • RAM: 16 GB de RAM

  • Espaço em disco: 36 GB de espaço livre em disco

Recomendações do servidor

  • Alocar espaço adicional em disco para permitir a criação do sistema de arquivos. Certifique-se de que haja pelo menos 35 GB de espaço livre no sistema de arquivos. + Se /opt É uma pasta montada de um armazenamento NAS; os usuários locais devem ter acesso a esta pasta. A criação do agente de atividade do usuário pode falhar se os usuários locais não tiverem as permissões necessárias.

  • Recomenda-se instalar o agente de atividade do usuário em um sistema separado do seu ambiente de Ransomware Resilience. Caso opte por instalá-los na mesma máquina, reserve de 50 a 55 GB de espaço de disco. Para Linux, aloque de 25 a 30 GB de espaço para /opt/netapp e 25 GB para var/log/netapp.

  • Recomenda-se sincronizar a hora tanto no sistema ONTAP quanto na máquina do agente de atividade do usuário usando o Protocolo de Tempo de Rede (NTP) ou o Protocolo de Tempo de Rede Simples (SNTP).

Recomendações de dimensionamento

Ao coletar eventos de usuário, certifique-se de que a máquina que hospeda o agente de atividade do usuário tenha o tamanho adequado para suportar a taxa de eventos. Isso significa garantir que você tenha coletores de dados suficientes e CPU e RAM suficientes na máquina que hospeda o agente de atividade do usuário para tolerar o número de eventos por segundo. Para aumentar o número de coletores de dados, pode ser necessário aumentar a capacidade de RAM ou CPU. Ransomware Resilience suporta até 50 coletores de dados por agente de atividade do usuário.

A tabela a seguir fornece orientações gerais para dimensionamento:

Configuração da máquina do agente de atividade do usuário Número de coletores de dados Taxa máxima de eventos

4 núcleos, 16GB

10 coletores de dados

20.000 eventos/segundo

4 núcleos, 32GB

20 coletores de dados

20.000 eventos/segundo

Você também pode calcular suas necessidades específicas. Ao calcular o tamanho adequado, recomenda-se qualificar com uma taxa de buffer de 30%. Use esta fórmula para determinar se sua configuração pode lidar com a carga.

Where E is the sum of all events per second across all data collectors:

E + (0.3 x E) < 20,000 events/second
O Ransomware Resilience fornece um script para calcular a taxa de dados de eventos. Aprenda como calcular a taxa de dados de eventos no Ransomware Resilience.

O Ransomware Resilience fornece um script que você pode executar em seu sistema para calcular a taxa de dados de eventos. Por padrão, o script é executado para um máximo de cinco máquinas virtuais de armazenamento (SVMs). Se o seu ambiente incluir mais de 5 SVMs, você pode modificar o script de acordo. Independentemente do número de SVMs, o script leva aproximadamente cinco minutos para obter uma leitura da taxa média de eventos. Antes de executar o script, você deve ter:

Passos

  1. No cluster que hospeda o agente de atividade do usuário, execute o script como admin: /opt/netapp/cloudsecure/agent/install/svm_event_rate_checker.sh

  2. Quando solicitado, forneça o endereço IP do cluster, o nome de usuário do administrador e a senha do administrador.

  3. O script leva aproximadamente cinco minutos para ser executado. Ao terminar, a linha de comando exibe a taxa de eventos, por exemplo "Svm svm_rate está gerando 100 eventos/seg."

    Use a taxa de eventos para calcular o dimensionamento.

regras de acesso à rede em nuvem

Analise as regras de acesso à rede em nuvem para a sua região geográfica (Ásia-Pacífico, Europa ou Estados Unidos).

Importante Durante a instalação inicial, substitua a <site_name> por uma permissão de caractere curinga (*. Após o agente ser ativado e estar totalmente operacional, você pode substituir a permissão pelo nome do site. Entre em contato com seu representante da NetApp para obter o nome do site.
Observação O agente de atividade do usuário utiliza a tecnologia NetApp Data Insights Infrastructure, daí o uso de cloudinsights endpoints. Para mais informações, consulte

Implantações de agentes de atividade do usuário baseadas em APAC

Protocolo Porta Fonte Destino Descrição

HTTPS (TCP)

443

Agente de atividade do usuário

  • <site_name>.cs01-ap-1.cloudinsights.netapp.com/br/

  • <site_name>.c01-ap-1.cloudinsights.netapp.com/br/

  • <site_name>.c02-ap-1.cloudinsights.netapp.com/br/

  • gentlogin.cs01-ap-1.cloudinsights.netapp.com/br/

Acesso à resiliência contra ransomware

Implantações de agentes de atividade do usuário baseadas na Europa

Protocolo Porta Fonte Destino Descrição

HTTPS (TCP)

443

Agente de atividade do usuário

  • <site_name>.cs01-eu-1.cloudinsights.netapp.com/br/

  • <site_name>.c01-eu-1.cloudinsights.netapp.com/br/

  • <site_name>.c02-eu-1.cloudinsights.netapp.com/br/

  • agentlogin.cs01-eu-1.cloudinsights.netapp.com/br/

Acesso à resiliência contra ransomware

Implantações de agentes de atividade do usuário baseados nos EUA

Protocolo Porta Fonte Destino Descrição

HTTPS (TCP)

443

Agente de atividade do usuário

  • <site_name>.cs01.cloudinsights.netapp.com/br/

  • <site_name>.c01.cloudinsights.netapp.com/br/

  • <site_name>.c02.cloudinsights.netapp.com/br/

  • agentlogin.cs01.cloudinsights.netapp.com

Acesso à resiliência contra ransomware

Regras na rede

Protocolo Porta Fonte Destino Descrição

TCP

389(LDAP) 636 (LDAPs / start-tls)

Agente de atividade do usuário

URL do servidor LDAP

Conectar ao LDAP

HTTPS (TCP)

443

Agente de atividade do usuário

Endereço IP de gerenciamento do cluster ou SVM (dependendo da configuração do coletor SVM)

Comunicação de API com ONTAP

TCP

35000 - 55000

Dados SVM LIF endereços IP

Agente de atividade do usuário

Comunicação do ONTAP para o agente de atividade do usuário para eventos Fpolicy. Essas portas devem ser abertas para o agente de atividade do usuário para que o ONTAP possa enviar eventos a ele, incluindo qualquer firewall no próprio agente de atividade do usuário (se houver). + NOTA: Não é necessário reservar todas essas portas, mas as portas reservadas devem estar dentro desse intervalo. Recomenda-se começar reservando 100 portas e aumentar esse número se necessário.

TCP

35000-55000

IP de gerenciamento de cluster

Agente de atividade do usuário

Comunicação do endereço IP de gerenciamento do cluster ONTAP para o agente de atividade do usuário para eventos EMS. Essas portas devem ser abertas para o agente de atividade do usuário para que o ONTAP possa enviar eventos EMS para ele, incluindo qualquer firewall no próprio agente de atividade do usuário. + NOTA: Não é necessário reservar todas essas portas, mas as portas reservadas devem estar dentro desse intervalo. Recomenda-se começar reservando 100 portas e aumentar esse número se necessário.

SSH

22

Agente de atividade do usuário

Gerenciamento de cluster

Necessário para bloqueio de usuários CIFS/SMB.

Próximo passo