简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

在NetApp Ransomware Resilience中配置可疑用户活动检测

12/09/2025 贡献者

PDF

勒索软件抵御能力支持在检测策略中检测可疑用户行为，使您能够在用户级别解决勒索软件事件。

勒索软件弹性通过分析ONTAP中 FPolicy 生成的用户活动事件来检测可疑的用户活动。要收集用户活动数据，您需要部署一个或多个用户活动代理。该代理是可连接到租户上的设备的 Linux 服务器或 VM。

代理商和收藏家

必须安装至少一个用户活动代理才能激活 Ransomware Resilience 中的可疑用户活动检测。当您从勒索软件恢复仪表板激活可疑用户活动功能时，您需要提供代理主机信息。

一个代理可以托管多个数据收集器。数据收集器将数据发送到 SaaS 位置进行分析。有两种类型的收集器：

数据收集器从ONTAP收集用户活动数据。
用户目录连接器连接到您的目录以将用户 ID 映射到用户名。

收集器在勒索软件恢复设置中配置。

启用可疑用户活动检测

所需的控制台角色 要激活可疑用户活动检测，您需要组织管理员角色。对于可疑用户活动的后续配置，您需要 Ransomware Resilience 用户行为管理员角色。"了解NetApp Console的勒索软件恢复角色"。

添加用户活动代理

用户活动代理是数据收集器的可执行环境；数据收集器与勒索软件恢复共享用户活动事件。您必须创建至少一个用户活动代理才能启用可疑用户活动检测。

要求

要安装用户活动代理，您需要一个满足以下支持的操作系统和服务器要求的主机或虚拟机。

操作系统要求

操作系统	支持的版本
AlmaLinux	9.4（64 位）至 9.5（64 位）和 10（64 位），包括 SELinux
CentOS	CentOS Stream 9（64 位）
Debian	11（64 位）、12（64 位），包括 SELinux
OpenSUSE 飞跃	15.3（64 位）至 15.6（64 位）
Oracle Linux	8.10（64 位）、9.1（64 位）至 9.6（64 位），包括 SELinux
Red Hat	8.10（64 位）、9.1（64 位）至 9.6（64 位）和 10（64 位），包括 SELinux
洛基	Rocky 9.4 (64 位) 至 9.6 (64 位)，包括 SELinux
SUSE 企业 Linux	15 SP4（64 位）至 15 SP6（64 位），包括 SELinux
Ubuntu	20.04 LTS（64 位）、22.04 LTS（64 位）和 24.04 LTS（64 位）

操作系统

支持的版本

AlmaLinux

9.4（64 位）至 9.5（64 位）和 10（64 位），包括 SELinux

CentOS

CentOS Stream 9（64 位）

Debian

11（64 位）、12（64 位），包括 SELinux

OpenSUSE 飞跃

15.3（64 位）至 15.6（64 位）

Oracle Linux

8.10（64 位）、9.1（64 位）至 9.6（64 位），包括 SELinux

Red Hat

8.10（64 位）、9.1（64 位）至 9.6（64 位）和 10（64 位），包括 SELinux

洛基

Rocky 9.4 (64 位) 至 9.6 (64 位)，包括 SELinux

SUSE 企业 Linux

15 SP4（64 位）至 15 SP6（64 位），包括 SELinux

Ubuntu

20.04 LTS（64 位）、22.04 LTS（64 位）和 24.04 LTS（64 位）

服务器要求

服务器必须满足以下最低要求：

CPU：4 核
内存：16GB 内存
磁盘空间：35 GB 可用磁盘空间

云服务提供商支持

可疑用户活动数据可以存储在 AWS 和 Azure 的以下区域中：

云提供商	地区
AWS	亚太地区（悉尼）（ap-southeast-2）欧洲（法兰克福）(eu-central-1) 美国东部（弗吉尼亚北部）（us-east-1）
Azure	美国东部

云提供商

地区

AWS

亚太地区（悉尼）（ap-southeast-2）
欧洲（法兰克福）(eu-central-1)
美国东部（弗吉尼亚北部）（us-east-1）

Azure

美国东部

步骤

如果这是您第一次创建用户活动代理，请转到仪表板。在用户活动图块中，选择激活。

如果您要添加其他用户活动代理，请转到*设置*，找到用户活动图块，然后选择管理。在用户活动屏幕上，选择用户活动代理选项卡，然后选择添加。
选择云提供商，然后选择区域。选择下一步。
提供用户活动代理详细信息：
- 用户活动代理名称
- 控制台代理 - 控制台代理应与用户活动代理位于同一网络中，并可通过 SSH 连接到用户活动代理的 IP 地址。
- VM DNS 名称或 IP 地址
- 虚拟机 SSH 密钥
选择下一步。
检查您的设置。选择*激活*以完成添加用户活动代理。
确认用户活动代理已成功创建。在用户活动图块中，成功部署显示为“正在运行”。

结果

成功创建用户活动代理后，返回设置菜单，然后在用户活动图块中选择管理。选择用户活动代理选项卡，然后选择用户活动代理以查看有关它的详细信息，包括数据收集器和用户目录连接器。

添加数据收集器

当您启用具有可疑用户活动检测功能的勒索软件保护策略时，数据收集器会自动创建。有关详细信息，请参阅添加检测策略。

您可以查看数据收集器的详细信息。从“设置”中，选择“用户活动”图块中的“管理”。选择数据收集器选项卡，然后选择数据收集器以查看其详细信息或暂停它。

用户活动设置的屏幕截图

添加用户目录连接器

要将用户 ID 映射到用户名，您必须创建用户目录连接器。

步骤

在勒索软件恢复中，转到*设置*。
在用户活动图块中，选择管理。
选择用户目录连接器选项卡，然后选择添加。

配置连接。请在每个字段中填写所需信息。

字段描述

字段	描述
姓名	请为用户目录连接器输入一个唯一的名称
用户目录类型	目录类型
服务器IP地址或域名	连接所在服务器的 IP 地址或完全限定域名 (FQDN)
森林名称或搜索名称	您可以将目录结构的林级别指定为直接域名（例如）。 `unit.company.com`）或一组相对专有名称（例如： `DC=unit,DC=company,DC=com`）。你也可以输入一个 `OU` 按组织单元或 `CN` 仅限特定用户（例如： `CN=user,OU=engineering,DC=unit,DC=company,DC=com`）。
绑定DN	BIND DN 是被允许搜索目录的用户帐户，例如 user@domain.com。用户需要域只读权限。
绑定密码	BIND DN 中提供的用户密码
协议	协议字段为可选字段。您可以使用 LDAP、LDAPS 或基于 StartTLS 的 LDAP。
港口	请输入您选择的端口号

姓名

请为用户目录连接器输入一个唯一的名称

用户目录类型

目录类型

服务器IP地址或域名

连接所在服务器的 IP 地址或完全限定域名 (FQDN)

森林名称或搜索名称

您可以将目录结构的林级别指定为直接域名（例如）。 unit.company.com）或一组相对专有名称（例如： DC=unit,DC=company,DC=com）。你也可以输入一个 OU 按组织单元或 CN 仅限特定用户（例如： CN=user,OU=engineering,DC=unit,DC=company,DC=com）。

绑定DN

BIND DN 是被允许搜索目录的用户帐户，例如 user@domain.com。用户需要域只读权限。

绑定密码

BIND DN 中提供的用户密码

协议

协议字段为可选字段。您可以使用 LDAP、LDAPS 或基于 StartTLS 的 LDAP。

港口

请输入您选择的端口号

用户目录连接的屏幕截图

提供属性映射详细信息：

显示名称
SID（如果您使用 LDAP）
用户名
Unix ID（如果您使用 NFS）
如果您选择“包含可选属性”，您还可以添加电子邮件地址、电话号码、角色、州/省、国家/地区、部门、照片、经理 DN 或组。选择“高级”以添加可选的搜索查询。

选择添加。
返回用户目录连接器选项卡以检查用户目录连接器的状态。如果创建成功，用户目录连接器的状态显示为*正在运行*。

删除用户目录连接器

在勒索软件恢复中，转到*设置*。
找到用户活动图块，选择管理。
选择用户目录连接器选项卡。
确定要删除的用户目录连接器。在行尾的操作菜单中，选择三个点 `…`然后删除。
在弹出的对话框中，选择删除以确认您的操作。

响应可疑用户活动警报

配置可疑用户活动检测后，您可以在警报页面中监控事件。有关更多信息，请参阅"检测恶意活动和异常用户行为" 。