NetApp Ransomware Resilience 的使用者活動偵測需求
建議變更
PDF
NetApp Ransomware Resilience 使用者行為偵測使您能夠應對使用者層級的勒索軟體事件。您必須建立一組代理程式才能啟用使用者行為偵測。在啟用偵測之前,您必須確保您符合規定的作業系統、伺服器和網路要求,以便 Ransomware Resilience 能夠正確偵測和報告事件。
Ransomware Resilience 支援對本機 ONTAP 系統以及 Amazon FsxN for NetApp ONTAP 和 Cloud Volumes ONTAP 系統中的工作負載進行使用者行為偵測,這些系統符合 雲端供應商支援。
雲端供應商支援
使用者行為資料可以儲存在 AWS 和 Azure 的以下區域:
| 雲端提供者 | 地區 |
|---|---|
AWS |
|
Azure |
美國東部 |
作業系統要求
以下作業系統支援可疑使用者行為偵測:
| 作業系統 | 支援的版本 |
|---|---|
AlmaLinux |
9.4(64 位元)至 9.5(64 位元)和 10(64 位元),包括 SELinux |
CentOS |
CentOS Stream 9(64 位元) |
Debian |
11(64 位元)、12(64 位元),包括 SELinux |
OpenSUSE 飛躍 |
15.3(64 位)至 15.6(64 位) |
Oracle Linux |
8.10(64 位元)、9.1(64 位元)至 9.6(64 位元),包括 SELinux |
紅帽 |
8.10(64 位元)、9.1(64 位元)至 9.6(64 位元)和 10(64 位元),包括 SELinux |
洛基 |
Rocky 9.4 (64 位) 至 9.6 (64 位),包括 SELinux |
SUSE 企業 Linux |
15 SP4(64 位元)至 15 SP6(64 位元),包括 SELinux |
Ubuntu |
20.04 LTS(64 位元)、22.04 LTS(64 位元)和 24.04 LTS(64 位元) |
|
用于用户活动代理的计算机不应运行其他应用程序级别的软件。建議使用專用伺服器。 |
這 unzip 安裝需要該指令。這 sudo su - 該命令用於安裝、運行腳本和卸載。
伺服器要求
伺服器必須滿足以下最低要求:
-
CPU:4 核
-
內存:16GB 內存
-
磁碟空間:36 GB 可用磁碟空間
伺服器建議
-
分配額外的磁碟空間以用於建立檔案系統。請確保檔案系統中至少有 35 GB 的可用空間。+ 如果
/opt這是從 NAS 儲存裝置掛載的資料夾,本機使用者必須有權限存取此資料夾。如果本機使用者沒有必要的權限,則使用者活動代理程式建立可能會失敗。 -
建議您將使用者活動代理安裝在與 Ransomware Resilience 環境不同的系統上。如果確實要安裝在同一台機器上,則應預留 50 至 55 GB 的磁碟空間。對於 Linux 系統,請分配 25-30 GB 的空間至
/opt/netapp,並分配 25 GB 至var/log/netapp。 -
建議您使用網路時間協定 (NTP) 或簡單網路時間協定 (SNTP) 同步ONTAP系統和使用者活動代理程式電腦上的時間。
大小調整建議
收集使用者事件時,請確保執行使用者活動代理程式的機器配置足以應付事件發生率。這意味著您需要確保執行使用者活動代理程式的機器擁有足夠的資料收集器、CPU 和 RAM,以承受每秒事件數。若要增加資料收集器的數量,您可能需要增加 RAM 或 CPU 容量。Ransomware Resilience 每個使用者活動代理程式最多支援 50 個資料收集器。
下表提供大小調整的一般指引:
| 使用者活動代理程式機器組態 | 資料收集器數量 | 最大事件速率 |
|---|---|---|
4 核心,16GB |
10 個資料收集器 |
每秒 20,000 個事件 |
4 核心,32 GB |
20 個資料收集器 |
每秒 20,000 個事件 |
您也可以計算您的具體需求。計算適當的容量時,建議預留 30% 的緩衝率。使用此公式來確定您的配置是否能夠承受負載。
Where E is the sum of all events per second across all data collectors: E + (0.3 x E) < 20,000 events/second
Ransomware Resilience 提供了一個用於計算事件資料速率的腳本。了解如何在 Ransomware Resilience 中計算事件資料速率。
Ransomware Resilience 提供了一個腳本,您可以在系統上執行該腳本來計算事件資料速率。預設情況下,此腳本最多可處理五個儲存 VM。如果您的環境包含超過 5 個 SVM,您可以相應地修改腳本。無論 SVM 的數量如何,該腳本大約需要五分鐘才能獲得平均事件速率讀數。在執行腳本之前,您必須具備以下條件:
-
叢集 IP 位址
-
叢集管理使用者名稱和密碼
-
已安裝
sshpass在 Linux 機器上(您可以使用命令進行安裝sudo yum install -y sshpass)
-
從託管使用者活動代理程式的叢集中,以管理員身份執行指令碼:
/opt/netapp/cloudsecure/agent/install/svm_event_rate_checker.sh -
出現提示時,提供叢集 IP 位址、管理員使用者名稱和管理員密碼。
-
該腳本大約需要五分鐘才能執行完畢。執行完成後,命令列會顯示事件速率,例如「Svm svm_rate 正在產生 100 個事件/秒」。
使用事件速率來計算您的大小。
雲端網路存取規則
查看您所在地區(亞太地區、歐洲或美國)的雲端網路存取規則。
|
在初始安裝期間,請將 <site_name> 替換為萬用字元 (* 權限。代理程式啟動並完全運作後,您可以將權限替換為網站名稱。請聯絡您的 NetApp 代表以取得網站名稱。
|
|
|
使用者活動代理程式使用 NetApp Data Infrastructure Insights 技術,因此需要使用 `cloudinsights`端點。如需詳細資訊,請參閱 |
基於亞太地區的使用者活動代理程式部署
| 協定 | 港口 | 來源 | 目的地 | 描述 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
使用者活動代理 |
|
取得勒索軟體復原能力 |
歐洲使用者活動代理程式部署
| 協定 | 港口 | 來源 | 目的地 | 描述 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
使用者活動代理 |
|
取得勒索軟體復原能力 |
美國使用者活動代理程式部署
| 協定 | 港口 | 來源 | 目的地 | 描述 |
|---|---|---|---|---|
HTTPS(TCP) |
443 |
使用者活動代理 |
|
取得勒索軟體復原能力 |
網路內規則
| 協定 | 港口 | 來源 | 目的地 | 描述 |
|---|---|---|---|---|
TCP |
389(LDAP) 636(LDAP/啟動-tls) |
使用者活動代理 |
LDAP 伺服器 URL |
連線到 LDAP |
HTTPS(TCP) |
443 |
使用者活動代理 |
叢集或SVM管理IP位址(取決於SVM收集器配置) |
API 與ONTAP進行通信 |
TCP |
35000 - 55000 |
SVM 資料 LIF IP 位址 |
使用者活動代理 |
ONTAP與使用者活動代理程式之間關於 Fpolicy 事件的通訊。為了讓ONTAP能夠向用戶活動代理發送事件,必須向其開放這些端口,包括用戶活動代理本身上的任何防火牆(如果存在)。+ 注意:您不需要預留*所有*這些端口,但您為此預留的端口必須在此範圍內。建議您先預留 100 個端口,如有必要再增加。 |
TCP |
35000-55000 |
叢集管理IP |
使用者活動代理 |
ONTAP叢集管理 IP 與使用者活動代理程式之間關於 EMS 事件 的通訊。為了讓ONTAP向用戶活動代理發送 EMS 事件,必須向用戶活動代理開放這些端口,包括用戶活動代理本身上的任何防火牆。+ 注意:您不需要預留*所有*這些端口,但您為此預留的端口必須在此範圍內。建議您先預留 100 個端口,如有必要再增加。 |
SSH |
22 |
使用者活動代理 |
叢集管理 |
需要 CIFS/SMB 使用者阻止。 |