NetApp Ransomware Resilience 的用户活动检测要求
建议更改
PDF
NetApp Ransomware Resilience 用户行为检测使您能够对用户级别的勒索软件事件做出响应。您必须创建一组代理才能启用用户行为检测。在启用检测之前,您必须确保满足概述的操作系统、服务器和网络要求,以便 Ransomware Resilience 能够正确检测和报告事件。
Ransomware Resilience 支持用户行为检测,适用于本地 ONTAP 系统的工作负载,以及与 云提供商支持 保持一致的 Amazon FsxN for NetApp ONTAP 和 Cloud Volumes ONTAP 系统。
云提供商支持
用户行为数据可以存储在以下区域的 AWS 和 Azure 中:
| 云提供商 | 地区 |
|---|---|
AWS |
|
Azure |
美国东部 |
操作系统要求
以下操作系统支持可疑用户行为检测:
| 操作系统 | 支持的版本 |
|---|---|
AlmaLinux |
9.4(64 位)至 9.5(64 位)和 10(64 位),包括 SELinux |
CentOS |
CentOS Stream 9(64 位) |
Debian |
11(64 位)、12(64 位),包括 SELinux |
OpenSUSE 飞跃 |
15.3(64 位)至 15.6(64 位) |
Oracle Linux |
8.10(64 位)、9.1(64 位)至 9.6(64 位),包括 SELinux |
Red Hat |
8.10(64 位)、9.1(64 位)至 9.6(64 位)和 10(64 位),包括 SELinux |
洛基 |
Rocky 9.4 (64 位) 至 9.6 (64 位),包括 SELinux |
SUSE 企业 Linux |
15 SP4(64 位)至 15 SP6(64 位),包括 SELinux |
Ubuntu |
20.04 LTS(64 位)、22.04 LTS(64 位)和 24.04 LTS(64 位) |
|
用于用户活动代理的计算机不应运行其他应用程序级软件。建议使用专用服务器。 |
这 unzip 安装需要该命令。这 sudo su - 该命令用于安装、运行脚本和卸载。
服务器要求
服务器必须满足以下最低要求:
-
CPU:4 核
-
内存:16GB 内存
-
磁盘空间:36 GB 可用磁盘空间
服务器建议
-
分配额外的磁盘空间以用于创建文件系统。请确保文件系统中至少有 35 GB 的可用空间。+ 如果
/opt这是从 NAS 存储设备挂载的文件夹,本地用户必须有权限访问此文件夹。如果本地用户没有必要的权限,则用户活动代理创建可能会失败。 -
建议您在与 Ransomware Resilience 环境分开的系统中安装用户活动代理。如果您将它们安装在同一台计算机上,则应允许 50 到 55 GB 的磁盘空间。对于 Linux,分配 25-30 GB 的空间到
/opt/netapp,分配 25 GB 的空间到var/log/netapp。 -
建议您使用网络时间协议 (NTP) 或简单网络时间协议 (SNTP) 同步ONTAP系统和用户活动代理计算机上的时间。
规模建议
收集用户事件时,请确保托管用户活动代理的计算机大小能够适应您的事件率。这意味着确保在托管用户活动代理的计算机上有足够的数据收集器和足够的 CPU 和 RAM 来容忍每秒的事件数。要增加数据收集器的数量,您可能需要增加 RAM 或 CPU 容量。Ransomware Resilience 每个用户活动代理最多支持 50 个数据收集器。
下表提供了尺寸调整的一般指导:
| 用户活动代理机器配置 | 数据收集器数量 | 最大事件率 |
|---|---|---|
4 核、16GB |
10 个数据收集器 |
20,000 个事件/秒 |
4 核、32GB |
20 个数据收集器 |
20,000 个事件/秒 |
您还可以计算您的具体要求。在计算合适的大小时,建议您使用 30% 的缓冲率进行限定。使用此公式来确定您的配置是否可以处理负载。
Where E is the sum of all events per second across all data collectors: E + (0.3 x E) < 20,000 events/second
Ransomware Resilience 提供了一个用于计算事件数据速率的脚本。了解如何在 Ransomware Resilience 中计算事件数据速率。
Ransomware Resilience 提供了一个可以在系统上运行的脚本来计算事件数据速率。默认情况下,该脚本最多可运行五个存储虚拟机。如果您的环境包含 5 个以上的 SVM,则可以相应地修改脚本。无论 SVM 的数量有多少,该脚本大约需要五分钟才能获得平均事件率读数。在运行脚本之前,您必须:
-
集群 IP 地址
-
集群管理员用户名和密码
-
安装
sshpass`在 Linux 机器上(可以使用命令安装 `sudo yum install -y sshpass)
-
从托管用户活动代理的集群中,以管理员身份运行脚本:
/opt/netapp/cloudsecure/agent/install/svm_event_rate_checker.sh -
出现提示时,请提供 cluter IP 地址、管理员用户名和管理员密码。
-
脚本运行大约需要五分钟。完成后,命令行将显示事件速率,例如"Svm svm_rate 正在生成 100 个事件/秒"。
使用事件率来计算您的规模。
云网络访问规则
查看您所在地区(亚太地区、欧洲或美国)的云网络访问规则。
|
在初始安装期间,将 <site_name>`替换为通配符(*`)权限。激活代理并完全运行后,您可以将权限替换为站点名称。有关站点名称,请联系您的 NetApp 代表。
|
|
|
用户活动代理使用 NetApp Data Infrastructure Insights 技术,因此使用 `cloudinsights`端点。有关详细信息,请参见 |
基于 APAC 的用户活动代理部署
| 协议 | 端口 | 源 | 目标 | 描述 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
用户活动代理 |
|
获得勒索软件恢复能力 |
基于欧洲的用户活动代理部署
| 协议 | 端口 | 源 | 目标 | 描述 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
用户活动代理 |
|
获得勒索软件恢复能力 |
基于美国的用户活动代理部署
| 协议 | 端口 | 源 | 目标 | 描述 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
用户活动代理 |
|
获得勒索软件恢复能力 |
网络内规则
| 协议 | 端口 | 源 | 目标 | 描述 |
|---|---|---|---|---|
TCP |
389(LDAP) 636(LDAP/启动-tls) |
用户活动代理 |
LDAP Server URL |
连接到 LDAP |
HTTPS(TCP) |
443 |
用户活动代理 |
集群或SVM管理IP地址(取决于SVM收集器配置) |
API 与ONTAP进行通信 |
TCP |
35000 - 55000 |
SVM 数据 LIF IP 地址 |
用户活动代理 |
ONTAP与用户活动代理之间关于 Fpolicy 事件的通信。为了让ONTAP能够向用户活动代理发送事件,必须向其开放这些端口,包括用户活动代理本身上的任何防火墙(如果存在)。+ 注意:您不需要预留*所有*这些端口,但您为此预留的端口必须在此范围内。建议您先预留 100 个端口,如有必要再增加。 |
TCP |
35000-55000 |
集群管理 IP |
用户活动代理 |
ONTAP集群管理 IP 与用户活动代理之间关于 EMS 事件 的通信。为了让ONTAP能够向用户活动代理发送 EMS 事件,必须向用户活动代理开放这些端口,包括用户活动代理本身上的任何防火墙。+ 注意:您不需要预留*所有*这些端口,但您为此预留的端口必须在此范围内。建议您先预留 100 个端口,如有必要再增加。 |
SSH |
22 |
用户活动代理 |
集群管理 |
需要 CIFS/SMB 用户阻止。 |