Skip to main content
NetApp Ransomware Resilience
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 NetApp Ransomware Resilience 中为用户活动检测配置代理和收集器

贡献者 netapp-ahibbard
PDF

NetApp Ransomware Resilience 用户活动检测可帮助您防止用户级别的勒索软件事件。要在 Ransomware Resilience 中启用可疑用户行为检测,必须至少安装一个用户活动代理,该代理将创建一个数据收集环境,以监控用户行为中类似于勒索软件事件的异常模式。

用户活动代理托管数据收集器和用户目录连接器,它们都将数据发送到 SaaS 位置进行分析。

  • 数据收集器从 ONTAP 收集用户活动数据。当您创建具有用户行为检测的保护策略时,将自动创建数据收集器。

  • 用户目录连接器连接到您的目录以将用户 ID 映射到用户名。您必须配置用户目录连接器。

用户活动代理、数据收集器和用户目录连接器都可以从 Ransomware Resilience 设置信息板进行管理。

备注 如果您已经在使用 NetApp Data Infrastructure Insights (DII) Workload Security,建议您使用相同的 Workload Security 代理来实现 Ransomware Resilience。您不需要为 Ransomware Resilience 部署单独的 Workload Security 代理,但是,使用相同的 Workload Security 代理需要在 Ransomware Resilience Console 组织和 DII Storage Workload Security 租户之间建立配对关系。请联系您的账号代表以启用此配对。

+ 如果您_不_使用 DII,请继续执行此处的配置说明。

开始之前

需要控制台角色 要激活可疑用户活动检测,您需要组织管理员角色。对于后续的可疑用户活动配置,您需要 Ransomware Resilience 用户行为管理员角色"了解NetApp Console的勒索软件恢复角色"

确保每个角色都应用于组织级别。

创建用户活动代理

用户活动代理是 "数据收集器" 的可执行环境;数据收集器与 Ransomware Resilience 共享用户活动事件。您必须至少创建一个用户活动代理才能启用可疑用户活动检测。

步骤

  1. 如果这是您第一次创建用户活动代理,请转到仪表板。在用户活动图块中,选择激活

    如果您要添加其他用户活动代理,请转到*设置*,找到用户活动图块,然后选择管理。在用户活动屏幕上,选择用户活动代理选项卡,然后选择添加

  2. 选择云提供商,然后选择区域。选择下一步

  3. 提供用户活动代理详细信息:

    • 用户活动代理名称

    • 控制台代理 - 控制台代理应与用户活动代理位于同一网络中,并可通过 SSH 连接到用户活动代理的 IP 地址。

    • VM DNS 名称或 IP 地址

    • VM SSH Key - 使用以下格式输入 SSH 密钥:

      -----BEGIN OPENSSH PRIVATE KEY-----
private-key-contents
-----END OPENSSH PRIVATE KEY-----

      添加活动代理界面截图。

  4. 选择下一步

  5. 检查您的设置。选择*激活*以完成添加用户活动代理。

  6. 确认已成功创建用户活动代理。在用户活动图块中,成功的部署显示为 Running

结果

成功创建用户活动代理后,返回 Settings 菜单,然后在 User activity 图块中选择 Manage。选择 User activity agents 选项卡,然后选择用户活动代理以查看其详细信息,包括数据收集器和用户目录连接器。

添加数据收集器

当您启用具有可疑用户活动检测的勒索软件保护策略时,会自动创建数据收集器。有关详细信息,请参见 "添加检测策略"

您可以查看数据收集器的详细信息。从“设置”中,选择“用户活动”图块中的“管理”。选择数据收集器选项卡,然后选择数据收集器以查看其详细信息或暂停它。

用户活动设置的屏幕截图。

创建用户目录连接器

要将用户 ID 映射到用户名,您必须创建用户目录连接器。

步骤

  1. 在勒索软件恢复中,转到*设置*。

  2. 在用户活动图块中,选择管理

  3. 选择用户目录连接器选项卡,然后选择添加

  4. 配置连接。请在每个字段中填写所需信息。

    字段 描述

    姓名

    请为用户目录连接器输入一个唯一的名称

    用户目录类型

    目录类型

    服务器IP地址或域名

    连接所在服务器的 IP 地址或完全限定域名 (FQDN)

    森林名称或搜索名称

    您可以将目录结构的林级别指定为直接域名(例如)。 unit.company.com)或一组相对专有名称(例如: DC=unit,DC=company,DC=com)。你也可以输入一个 OU 按组织单元或 CN 仅限特定用户(例如: CN=user,OU=engineering,DC=unit,DC=company,DC=com)。

    绑定DN

    BIND DN 是被允许搜索目录的用户帐户,例如 user@domain.com。用户需要域只读权限。

    绑定密码

    BIND DN 中提供的用户密码

    协议

    协议字段为可选字段。您可以使用 LDAP、LDAPS 或基于 StartTLS 的 LDAP。

    港口

    请输入您选择的端口号

    用户目录连接的屏幕截图

    提供属性映射详细信息:

    • 显示名称

    • SID(如果您使用 LDAP)

    • 用户名

    • Unix ID(如果您使用 NFS)

    • 如果您选择“包含可选属性”,您还可以添加电子邮件地址、电话号码、角色、州/省、国家/地区、部门、照片、经理 DN 或组。选择“高级”以添加可选的搜索查询。

  5. 选择添加

  6. 返回用户目录连接器选项卡以检查用户目录连接器的状态。如果创建成功,用户目录连接器的状态显示为*正在运行*。

删除用户目录连接器

步骤

  1. 在勒索软件恢复中,转到*设置*。

  2. 找到用户活动图块,选择管理

  3. 选择用户目录连接器选项卡。

  4. 确定要删除的用户目录连接器。在行尾的操作菜单中,选择三个点 `…​`然后删除

  5. 在弹出对话框中,选择 删除 进行确认。

从警报中排除用户

如果存在某些受信任的用户,其行为可能会触发用户行为警报,则可以将其从警报中排除。

步骤

  1. 在勒索软件恢复功能中,选择设置

  2. 在设置仪表板中,找到用户活动卡,然后选择 管理

  3. 选择 排除用户 选项卡。

  4. 要在 UI 中查看单个用户,请选择手动选择。要上传排除用户的列表,请选择上传

    1. 如果选择了手动选择,请选中要排除的特定用户名旁边的复选框。

    2. 如果您选择 Upload,请下载包含所有用户列表的 CSV 或 JSON 文件。选择 Download 以访问列表。

      在本地计算机上,查看文件。删除要为其维护检测的所有用户的名称。当列表仅包含要从检测中排除的用户的名称时,请将其保存。

    在 Ransomware Resilience 中,选择上传。找到并上传文件。

  5. 选择 Add 以完成将用户添加到排除列表。

  6. 排除的用户选项卡中,从用户行为检测警报中删除的用户名称现在显示在仪表板中。

提示 您还可以直接从警报中排除用户。有关详细信息,请参见 "响应勒索软件警报"

从排除的用户列表中删除用户

您可以在之后将用户添加回检测。

步骤

  1. 在设置仪表板中,找到用户活动卡,然后选择 管理

  2. 选择 排除用户 选项卡。

  3. 选择添加

  4. 要从 UI 中排除单个用户,请选择手动选择

  5. 从排除的用户选择中找到要删除的用户的名称。选择具有用户名的行上的操作菜单 (…​),然后选择 删除

  6. 在对话框中,选择 Remove 以确认要删除选定用户。

响应可疑用户活动警报

配置可疑用户活动检测后,可以在警报页面中监控事件。有关详细信息,请参见 "检测恶意活动和可疑用户行为"