简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

在 NetApp Ransomware Resilience 中为用户活动检测配置代理和收集器

02/12/2026 贡献者

PDF

要在 NetApp Ransomware Resilience 中启用可疑用户行为检测，必须至少安装一个用户活动代理。从 Ransomware Resilience 控制面板激活可疑用户活动功能时，需要提供用户活动代理主机信息。

一个代理可以托管多个数据收集器。数据收集器将数据发送到 SaaS 位置进行分析。有两种类型的收集器：

数据收集器从ONTAP收集用户活动数据。
用户目录连接器连接到您的目录以将用户 ID 映射到用户名。

收集器在勒索软件恢复设置中配置。

如果您已经在使用 NetApp Data Infrastructure Insights (DII) Workload Security，建议您使用相同的 Workload Security 代理来实现 Ransomware Resilience。您不需要为 Ransomware Resilience 部署单独的 Workload Security 代理，但是，使用相同的 Workload Security 代理需要在 Ransomware Resilience Console 组织和 DII Storage Workload Security 租户之间建立配对关系。请联系您的账号代表以启用此配对。

+ 如果您尚未使用 DII，请继续执行此处的配置说明。

开始之前

请确保满足 "操作系统、服务器和网络要求"。

需要控制台角色 要激活可疑用户活动检测，您需要组织管理员角色。对于后续的可疑用户活动配置，您需要 Ransomware Resilience 用户行为管理员角色。"了解NetApp Console的勒索软件恢复角色"。

确保每个角色都应用于组织级别。

创建用户活动代理

用户活动代理是 "数据收集器" 的可执行环境；数据收集器与 Ransomware Resilience 共享用户活动事件。您必须至少创建一个用户活动代理才能启用可疑用户活动检测。

步骤

如果这是您第一次创建用户活动代理，请转到仪表板。在用户活动图块中，选择激活。

如果您要添加其他用户活动代理，请转到*设置*，找到用户活动图块，然后选择管理。在用户活动屏幕上，选择用户活动代理选项卡，然后选择添加。
选择云提供商，然后选择区域。选择下一步。
提供用户活动代理详细信息：
- 用户活动代理名称
- 控制台代理 - 控制台代理应与用户活动代理位于同一网络中，并可通过 SSH 连接到用户活动代理的 IP 地址。
- VM DNS 名称或 IP 地址
- 虚拟机 SSH 密钥
选择下一步。
检查您的设置。选择*激活*以完成添加用户活动代理。
确认已成功创建用户活动代理。在用户活动图块中，成功的部署显示为 Running。

结果

成功创建用户活动代理后，返回 Settings 菜单，然后在 User activity 图块中选择 Manage。选择 User activity agents 选项卡，然后选择用户活动代理以查看其详细信息，包括数据收集器和用户目录连接器。

添加数据收集器

当您启用具有可疑用户活动检测功能的勒索软件保护策略时，数据收集器会自动创建。有关详细信息，请参阅添加检测策略。

您可以查看数据收集器的详细信息。从“设置”中，选择“用户活动”图块中的“管理”。选择数据收集器选项卡，然后选择数据收集器以查看其详细信息或暂停它。

用户活动设置的屏幕截图

创建用户目录连接器

要将用户 ID 映射到用户名，您必须创建用户目录连接器。

步骤

在勒索软件恢复中，转到*设置*。
在用户活动图块中，选择管理。
选择用户目录连接器选项卡，然后选择添加。

配置连接。请在每个字段中填写所需信息。

字段描述

字段	描述
姓名	请为用户目录连接器输入一个唯一的名称
用户目录类型	目录类型
服务器IP地址或域名	连接所在服务器的 IP 地址或完全限定域名 (FQDN)
森林名称或搜索名称	您可以将目录结构的林级别指定为直接域名（例如）。 `unit.company.com`）或一组相对专有名称（例如： `DC=unit,DC=company,DC=com`）。你也可以输入一个 `OU` 按组织单元或 `CN` 仅限特定用户（例如： `CN=user,OU=engineering,DC=unit,DC=company,DC=com`）。
绑定DN	BIND DN 是被允许搜索目录的用户帐户，例如 user@domain.com。用户需要域只读权限。
绑定密码	BIND DN 中提供的用户密码
协议	协议字段为可选字段。您可以使用 LDAP、LDAPS 或基于 StartTLS 的 LDAP。
港口	请输入您选择的端口号

姓名

请为用户目录连接器输入一个唯一的名称

用户目录类型

目录类型

服务器IP地址或域名

连接所在服务器的 IP 地址或完全限定域名 (FQDN)

森林名称或搜索名称

您可以将目录结构的林级别指定为直接域名（例如）。 unit.company.com）或一组相对专有名称（例如： DC=unit,DC=company,DC=com）。你也可以输入一个 OU 按组织单元或 CN 仅限特定用户（例如： CN=user,OU=engineering,DC=unit,DC=company,DC=com）。

绑定DN

BIND DN 是被允许搜索目录的用户帐户，例如 user@domain.com。用户需要域只读权限。

绑定密码

BIND DN 中提供的用户密码

协议

协议字段为可选字段。您可以使用 LDAP、LDAPS 或基于 StartTLS 的 LDAP。

港口

请输入您选择的端口号

用户目录连接的屏幕截图

提供属性映射详细信息：

显示名称
SID（如果您使用 LDAP）
用户名
Unix ID（如果您使用 NFS）
如果您选择“包含可选属性”，您还可以添加电子邮件地址、电话号码、角色、州/省、国家/地区、部门、照片、经理 DN 或组。选择“高级”以添加可选的搜索查询。

选择添加。
返回用户目录连接器选项卡以检查用户目录连接器的状态。如果创建成功，用户目录连接器的状态显示为*正在运行*。

删除用户目录连接器

在勒索软件恢复中，转到*设置*。
找到用户活动图块，选择管理。
选择用户目录连接器选项卡。
确定要删除的用户目录连接器。在行尾的操作菜单中，选择三个点 `…`然后删除。
在弹出对话框中，选择删除进行确认。

响应可疑用户活动警报

配置可疑用户活动检测后，可以在警报页面中监控事件。有关详细信息，请参见 "检测恶意活动和可疑用户行为"。