Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

NetApp Ransomware Resilience 中用户行为检测的要求

贡献者 netapp-ahibbard
PDF

在创建用户活动代理和其他收集器之前,必须确保满足概述的操作系统、服务器和网络要求。

云提供商支持

云服务提供商支持

可疑用户活动数据可以存储在 AWS 和 Azure 的以下区域中:

云提供商 地区

AWS

  • 亚太地区(悉尼)(ap-southeast-2)

  • 欧洲(法兰克福)(eu-central-1)

  • 美国东部(弗吉尼亚北部)(us-east-1)

Azure

美国东部

操作系统要求

以下操作系统支持可疑用户行为检测:

操作系统 支持的版本

AlmaLinux

9.4(64 位)至 9.5(64 位)和 10(64 位),包括 SELinux

CentOS

CentOS Stream 9(64 位)

Debian

11(64 位)、12(64 位),包括 SELinux

OpenSUSE 飞跃

15.3(64 位)至 15.6(64 位)

Oracle Linux

8.10(64 位)、9.1(64 位)至 9.6(64 位),包括 SELinux

Red Hat

8.10(64 位)、9.1(64 位)至 9.6(64 位)和 10(64 位),包括 SELinux

洛基

Rocky 9.4 (64 位) 至 9.6 (64 位),包括 SELinux

SUSE 企业 Linux

15 SP4(64 位)至 15 SP6(64 位),包括 SELinux

Ubuntu

20.04 LTS(64 位)、22.04 LTS(64 位)和 24.04 LTS(64 位)
备注 用于用户活动代理的计算机不应运行其他应用程序级软件。建议使用专用服务器。

unzip 安装需要该命令。这 sudo su - 该命令用于安装、运行脚本和卸载。

服务器要求

服务器必须满足以下最低要求:

  • CPU:4 核

  • 内存:16GB 内存

  • 磁盘空间:36 GB 可用磁盘空间

服务器建议

  • 分配额外的磁盘空间以用于创建文件系统。请确保文件系统中至少有 35 GB 的可用空间。+ 如果 /opt 这是从 NAS 存储设备挂载的文件夹,本地用户必须有权限访问此文件夹。如果本地用户没有必要的权限,则用户活动代理创建可能会失败。

  • 建议您在与 Ransomware Resilience 环境分开的系统中安装用户活动代理。如果您将它们安装在同一台计算机上,则应允许 50 到 55 GB 的磁盘空间。对于 Linux,分配 25-30 GB 的空间到 /opt/netapp,分配 25 GB 的空间到 var/log/netapp

  • 建议您使用网络时间协议 (NTP) 或简单网络时间协议 (SNTP) 同步ONTAP系统和用户活动代理计算机上的时间。

云网络访问规则

查看您所在地区(亚太地区、欧洲或美国)的云网络访问规则。

重要说明 在初始安装期间,将 <site_name>`替换为通配符(*`)权限。激活代理并完全运行后,您可以将权限替换为站点名称。有关站点名称,请联系您的 NetApp 代表。
备注 用户活动代理使用 NetApp Data Infrastructure Insights 技术,因此使用 `cloudinsights`端点。有关详细信息,请参见

基于 APAC 的用户活动代理部署

协议 端口 目标 描述

HTTPS(TCP)

443

用户活动代理

  • <site_name>.cs01-ap-1.cloudinsights.netapp.com/cn

  • <site_name>.c01-ap-1.cloudinsights.netapp.com/cn

  • <site_name>.c02-ap-1.cloudinsights.netapp.com/cn

  • gentlogin.cs01-ap-1.cloudinsights.netapp.com/cn

获得勒索软件恢复能力

基于欧洲的用户活动代理部署

协议 端口 目标 描述

HTTPS(TCP)

443

用户活动代理

  • <site_name>.cs01-eu-1.cloudinsights.netapp.com/cn

  • <site_name>.c01-eu-1.cloudinsights.netapp.com/cn

  • <site_name>.c02-eu-1.cloudinsights.netapp.com/cn

  • agentlogin.cs01-eu-1.cloudinsights.netapp.com/cn

获得勒索软件恢复能力

基于美国的用户活动代理部署

协议 端口 目标 描述

HTTPS(TCP)

443

用户活动代理

  • <site_name>.cs01.cloudinsights.netapp.com/cn

  • <site_name>.c01.cloudinsights.netapp.com/cn

  • <site_name>.c02.cloudinsights.netapp.com/cn

  • agentlogin.cs01.cloudinsights.netapp.com

获得勒索软件恢复能力

网络内规则

协议 端口 目标 描述

TCP

389(LDAP) 636(LDAP/启动-tls)

用户活动代理

LDAP Server URL

连接到 LDAP

HTTPS(TCP)

443

用户活动代理

集群或SVM管理IP地址(取决于SVM收集器配置)

API 与ONTAP进行通信

TCP

35000 - 55000

SVM 数据 LIF IP 地址

用户活动代理

ONTAP与用户活动代理之间关于 Fpolicy 事件的通信。为了让ONTAP能够向用户活动代理发送事件,必须向其开放这些端口,包括用户活动代理本身上的任何防火墙(如果存在)。+ 注意:您不需要预留*所有*这些端口,但您为此预留的端口必须在此范围内。建议您先预留 100 个端口,如有必要再增加。

TCP

35000-55000

集群管理 IP

用户活动代理

ONTAP集群管理 IP 与用户活动代理之间关于 EMS 事件 的通信。为了让ONTAP能够向用户活动代理发送 EMS 事件,必须向用户活动代理开放这些端口,包括用户活动代理本身上的任何防火墙。+ 注意:您不需要预留*所有*这些端口,但您为此预留的端口必须在此范围内。建议您先预留 100 个端口,如有必要再增加。

SSH

22

用户活动代理

集群管理

需要 CIFS/SMB 用户阻止。

下一步