在 NetApp Ransomware Resilience 中設定代理程式與收集器以偵測使用者活動
建議變更
PDF
NetApp Ransomware Resilience 的使用者活動偵測功能可協助您預防使用者等級的勒索軟體攻擊事件。若要啟用 Ransomware Resilience 中的可疑使用者行為偵測功能,您必須安裝至少一個使用者活動代理程式。該代理程式會建立一個資料收集環境,用於監控使用者行為中是否存在類似勒索軟體攻擊的異常模式。
使用者活動代理程式包含資料收集器和使用者目錄連接器,它們都會將資料傳送到 SaaS 位置進行分析。
-
資料收集器會從 ONTAP 收集使用者活動資料。當您建立包含使用者行為偵測的保護策略時,系統會自動建立資料收集器。
-
使用者目錄連接器用於連接到您的目錄,並將使用者 ID 對應到使用者名稱。您必須配置使用者目錄連接器。
使用者活動代理程式、資料收集器和使用者目錄連接器都可以從 Ransomware Resilience 設定儀表板進行管理。
|
如果您已在使用 NetApp Data Infrastructure Insights(DII)Workload Security、建議您將相同的 Workload Security 代理程式用於 Ransomware Resilience。您無需為 Ransomware Resilience 單獨部署 Workload Security 代理程式、但使用相同的 Workload Security 代理程式需要 Ransomware Resilience Console 組織與 DII Storage Workload Security 租戶建立配對關係。請聯絡您的客戶代表以啟用此配對。 |
+ 如果您_未_使用 DII,請按照此處的設定說明進行操作。
開始之前
-
確保您符合"作業系統、伺服器和網路要求"。
需要 Console 角色 若要啟用可疑使用者活動偵測,您需要 Organization admin role。針對後續的可疑使用者活動設定,您需要 Ransomware Resilience user behavior admin role。"了解NetApp Console的勒索軟體復原角色"。
確保每個角色都在組織層級套用。
建立使用者活動代理程式
使用者活動代理程式是 "資料收集器" 的可執行環境;資料收集器與 Ransomware Resilience 共用使用者活動事件。您必須建立至少一個使用者活動代理程式才能啟用可疑使用者活動偵測功能。
-
如果這是您第一次建立使用者活動代理,請前往儀表板。在使用者活動圖塊中,選擇啟動。
如果您要新增其他使用者活動代理,請前往*設定*,找到使用者活動圖塊,然後選擇管理。在使用者活動畫面上,選擇使用者活動代理選項卡,然後選擇新增。
-
選擇雲端提供者,然後選擇區域。選擇下一步。
-
提供用戶活動代理詳細資訊:
-
使用者活動代理名稱
-
控制台代理 - 控制台代理程式應與使用者活動代理程式位於同一網路中,並可透過 SSH 連線至使用者活動代理程式的 IP 位址。
-
VM DNS 名稱或 IP 位址
-
VM SSH Key - 請使用以下格式輸入 SSH 金鑰:
-----BEGIN OPENSSH PRIVATE KEY----- private-key-contents -----END OPENSSH PRIVATE KEY-----
-
-
選擇下一步。
-
檢查您的設定。選擇*啟動*以完成新增使用者活動代理程式。
-
確認使用者活動代理程式已成功建立。在「使用者活動」磁貼中,成功部署後會顯示為 Running。
使用者活動代理程式成功建立後、返回 Settings 功能表、然後在 User activity 磚中選取 Manage 。選取 User activity agents 索引標籤、然後選取使用者活動代理程式以檢視其詳細資料、包括資料收集器和使用者目錄連接器。
新增資料收集器
啟用包含可疑使用者活動偵測功能的勒索軟體防護策略時,系統會自動建立資料收集器。如需詳細資訊,請參閱 "新增檢測策略"。
您可以查看資料收集器的詳細資訊。從「設定」中,選擇「使用者活動」圖塊中的「管理」。選擇資料收集器選項卡,然後選擇資料收集器以查看其詳細資訊或暫停它。
建立使用者目錄連接器
若要將使用者 ID 對應到使用者名,您必須建立使用者目錄連接器。
-
在勒索軟體復原中,前往*設定*。
-
在使用者活動圖塊中,選擇管理。
-
選擇使用者目錄連接器選項卡,然後選擇新增。
-
配置連接。請在每個欄位中填寫所需資訊。
場地 描述 姓名
請為使用者目錄連接器輸入一個唯一的名稱
使用者目錄類型
目錄類型
伺服器IP位址或網域名稱
連接所在伺服器的 IP 位址或完全限定網域名稱 (FQDN)
森林名稱或搜尋名稱
您可以將目錄結構的林級別指定為直接網域名稱(例如)。
unit.company.com)或一組相對專有名詞(例如:DC=unit,DC=company,DC=com)。你也可以輸入一個OU按組織單元或CN僅限特定使用者(例如:CN=user,OU=engineering,DC=unit,DC=company,DC=com)。綁定DN
BIND DN 是被允許搜尋目錄的使用者帳戶,例如 user@domain.com。使用者需要網域唯讀權限。
綁定密碼
BIND DN 中提供的使用者密碼
協定
協定字段為可選字段。您可以使用 LDAP、LDAPS 或基於 StartTLS 的 LDAP。
港口
請輸入您選擇的連接埠號
提供屬性映射詳細資訊:
-
顯示名稱
-
SID(如果您使用 LDAP)
-
使用者名稱
-
Unix ID(如果您使用 NFS)
-
如果您選擇“包含可選屬性”,您還可以新增電子郵件地址、電話號碼、角色、州/省、國家/地區、部門、照片、經理 DN 或群組。選擇“進階”以新增可選的搜尋查詢。
-
-
選擇新增。
-
傳回使用者目錄連接器標籤以檢查使用者目錄連接器的狀態。如果建立成功,使用者目錄連接器的狀態顯示為*正在執行*。
刪除使用者目錄連接器
-
在勒索軟體復原中,前往*設定*。
-
找到使用者活動圖塊,選擇管理。
-
選擇使用者目錄連接器選項卡。
-
確定要刪除的使用者目錄連接器。在行尾的操作選單中,選擇三個點 `…`然後刪除。
-
在彈出的對話方塊中、選取 Delete 進行確認。
將使用者排除在警示範圍之外
如果某些受信任使用者的行為可能會觸發使用者行為警示,您可以將他們從警示中排除。
-
在勒索軟體恢復功能中,選擇設定。
-
在「設定」儀表板中,找到「使用者活動」卡片,然後選取 Manage。
-
選擇 Excluded users 標籤。
-
若要在使用者介面中檢閱個別使用者,請選擇 手動選取。若要上傳排除的使用者清單,請選取 上傳。
-
如果您選擇了 Select manually,請選取要排除的特定使用者名稱旁的核取方塊。
-
如果您選擇 Upload,請下載包含所有使用者清單的 CSV 或 JSON 檔案。選擇 Download 即可存取該清單。
在本機上,查看該檔案。刪除所有您希望保留偵測的使用者名稱。當清單中僅包含您希望從偵測中排除的使用者名稱時,請儲存該檔案。
在 Ransomware Resilience 中,選取 Upload。找到並上傳檔案。
-
-
選擇 Add 以完成將使用者新增至排除清單的操作。
-
在「已排除使用者」標籤中,現在會在儀表板中顯示已從使用者行為偵測警示中移除的使用者名稱。
|
您也可以直接將使用者從警示中排除。如需詳細資訊、請參閱 "回應勒索軟體警示"。 |
從排除使用者清單中移除使用者
之後您可以將使用者重新加入偵測。
-
在「設定」儀表板中,找到「使用者活動」卡片,然後選取 Manage。
-
選擇 Excluded users 標籤。
-
選擇新增。
-
若要從使用者介面中排除個別使用者,請選擇 手動選擇。
-
從排除使用者清單中找到要移除的使用者名稱。在該使用者名稱所在的行選擇操作選單 (
…),然後選擇移除。 -
在對話方塊中、選取 Remove 以確認您要移除所選使用者。
回應可疑用戶活動警報
配置可疑使用者活動偵測後,您可以在警報頁面監控事件。如需詳細資訊,請參閱 "偵測惡意活動和可疑使用者行為"。