Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在NetApp Ransomware Resilience中配置可疑用户活动检测

贡献者 netapp-ahibbard
PDF

勒索软件抵御能力支持在检测策略中检测可疑用户行为,使您能够在用户级别解决勒索软件事件。

勒索软件弹性通过分析ONTAP中 FPolicy 生成的用户活动事件来检测可疑的用户活动。要收集用户活动数据,您需要部署一个或多个用户活动代理。该代理是可连接到租户上的设备的 Linux 服务器或 VM。

代理商和收藏家

必须安装至少一个用户活动代理才能激活 Ransomware Resilience 中的可疑用户活动检测。当您从勒索软件恢复仪表板激活可疑用户活动功能时,您需要提供代理主机信息来激活该功能。

一个代理可以托管多个数据收集器。数据收集器将数据发送到 SaaS 位置进行分析。有两种类型的收集器:

  • 数据收集器从ONTAP收集用户活动数据。

  • 用户目录连接器连接到您的目录以将用户 ID 映射到用户名。

收集器在勒索软件恢复设置中配置。

启用可疑用户活动检测

所需的控制台角色 要激活可疑用户活动检测,您需要组织管理员角色。对于可疑用户活动的后续配置,您需要 Ransomware Resilience 用户行为管理员角色。"了解NetApp Console的勒索软件恢复角色"

添加用户活动代理

用户活动代理是数据收集器的可执行环境;数据收集器与勒索软件恢复共享用户活动事件。您必须创建至少一个用户活动代理才能启用可疑用户活动检测。

要求

要安装用户活动代理,您需要一个满足以下支持的操作系统和服务器要求的主机或虚拟机。

操作系统要求

操作系统

支持的版本

AlmaLinux

9.4(64 位)至 9.5(64 位)和 10(64 位),包括 SELinux

CentOS

CentOS Stream 9(64 位)

Debian

11(64 位)、12(64 位),包括 SELinux

OpenSUSE 飞跃

15.3(64 位)至 15.6(64 位)

Oracle Linux

8.10(64 位)、9.1(64 位)至 9.6(64 位),包括 SELinux

红帽

8.10(64 位)、9.1(64 位)至 9.6(64 位)和 10(64 位),包括 SELinux

洛基

Rocky 9.4(64 位)至 9.6(64 位),包括 SELinux

SUSE 企业 Linux

15 SP4(64 位)至 15 SP6(64 位),包括 SELinux

Ubuntu

20.04 LTS(64 位)、22.04 LTS(64 位)和 24.04 LTS(64 位)

服务器要求

服务器必须满足以下最低要求:

  • CPU:4 核

  • 内存:16GB 内存

  • 磁盘空间:35GB 可用磁盘空间

步骤

  1. 如果这是您第一次创建用户活动代理,请转到仪表板。在用户活动图块中,选择激活

    如果您要添加其他用户活动代理,请转到*设置*,找到用户活动图块,然后选择管理。在用户活动屏幕上,选择用户活动代理选项卡,然后选择添加

  2. 选择云提供商,然后选择区域。选择下一步

  3. 提供用户活动代理详细信息:

    • 用户活动代理名称

    • 控制台代理 - 控制台代理应与用户活动代理位于同一网络中,并通过 SSH 连接到用户活动代理 IP 地址。

    • VM DNS 名称或 IP 地址

    • 虚拟机 SSH 密钥

      添加活动代理界面截图。

  4. 选择下一步

  5. 检查您的设置。选择*激活*以完成添加用户活动代理。

  6. 确认用户活动代理已成功创建。在用户活动图块中,成功部署显示为“正在运行”。

结果

成功创建用户活动代理后,返回设置菜单,然后在用户活动图块中选择管理。选择用户活动代理选项卡,然后选择用户活动代理以查看有关它的详细信息,包括数据收集器和用户目录连接器。

添加数据收集器

当您启用具有可疑用户活动检测功能的勒索软件保护策略时,数据收集器会自动创建。有关详细信息,请参阅 添加检测策略

您可以查看数据收集器的详细信息。从“设置”中,选择“用户活动”图块中的“管理”。选择数据收集器选项卡,然后选择数据收集器以查看其详细信息或暂停它。

用户活动设置的屏幕截图

添加用户目录连接器

要将用户 ID 映射到用户名,您必须创建用户目录连接器。

步骤

  1. 在勒索软件恢复中,转到*设置*。

  2. 在用户活动图块中,选择管理

  3. 选择用户目录连接器选项卡,然后选择添加

  4. 提供连接的详细信息:

    • 姓名

    • 用户目录类型

    • 服务器IP地址或域名

    • 森林名称或搜索名称

    • BIND 域名

    • 绑定密码

    • 协议(可选)

    • 港口

      用户目录连接的屏幕截图

    提供属性映射详细信息:

    • 显示名称

    • SID(如果您使用 LDAP)

    • 用户名

    • Unix ID(如果您使用 NFS)

    • 选择*包括可选属性*。您还可以包括电子邮件地址、电话号码、角色、州、国家、部门、照片、经理 DN 或群组。

      选择“高级”以添加可选的搜索查询。

  5. 选择添加

  6. 返回用户目录连接器选项卡以检查用户目录连接器的状态。如果创建成功,用户目录连接器的状态显示为*正在运行*。

删除用户目录连接器

  1. 在勒索软件恢复中,转到*设置*。

  2. 找到用户活动图块,选择管理

  3. 选择用户目录连接器选项卡。

  4. 确定要删除的用户目录连接器。在行尾的操作菜单中,选择三个点 `…​`然后删除

  5. 在弹出的对话框中,选择删除以确认您的操作。

响应可疑用户活动警报

配置可疑用户活动检测后,您可以在警报页面中监控事件。有关更多信息,请参阅"检测恶意活动和异常用户行为"