本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

在NetApp Ransomware Resilience中配置可疑使用者活動偵測

12/09/2025 貢獻者

PDF

勒索軟體抵禦能力支援在偵測策略中偵測可疑使用者行為，使您能夠在使用者層級解決勒索軟體事件。

勒索軟體彈性透過分析ONTAP中 FPolicy 產生的使用者活動事件來偵測可疑的使用者活動。要收集用戶活動數據，您需要部署一個或多個用戶活動代理程式。該代理程式是可連接到租用戶上的裝置的 Linux 伺服器或 VM。

代理商和收藏家

必須安裝至少一個使用者活動代理程式才能啟動 Ransomware Resilience 中的可疑使用者活動偵測。當您從勒索軟體復原儀表板啟動可疑使用者活動功能時，您需要提供代理主機資訊。

一個代理可以託管多個資料收集器。資料收集器將資料傳送到 SaaS 位置進行分析。有兩種類型的收集器：

資料收集器從ONTAP收集使用者活動資料。
使用者目錄連接器連接到您的目錄以將使用者 ID 對應到使用者名稱。

收集器在勒索軟體恢復設定中配置。

啟用可疑用戶活動偵測

所需的控制台角色 若要啟動可疑使用者活動偵測，您需要組織管理員角色。對於可疑使用者活動的後續配置，您需要 Ransomware Resilience 使用者行為管理員角色。"了解NetApp Console的勒索軟體復原角色"。

新增用戶活動代理

使用者活動代理程式是資料收集器的可執行環境；資料收集器與勒索軟體復原共享使用者活動事件。您必須建立至少一個使用者活動代理程式才能啟用可疑使用者活動偵測。

要求

要安裝用戶活動代理，您需要一個符合以下支援的作業系統和伺服器要求的主機或虛擬機器。

作業系統需求

作業系統	支援的版本
AlmaLinux	9.4（64 位元）至 9.5（64 位元）和 10（64 位元），包括 SELinux
CentOS	CentOS Stream 9（64 位元）
Debian	11（64 位元）、12（64 位元），包括 SELinux
OpenSUSE 飛躍	15.3（64 位）至 15.6（64 位）
Oracle Linux	8.10（64 位元）、9.1（64 位元）至 9.6（64 位元），包括 SELinux
紅帽	8.10（64 位元）、9.1（64 位元）至 9.6（64 位元）和 10（64 位元），包括 SELinux
洛基	Rocky 9.4 (64 位) 至 9.6 (64 位)，包括 SELinux
SUSE 企業 Linux	15 SP4（64 位元）至 15 SP6（64 位元），包括 SELinux
Ubuntu	20.04 LTS（64 位元）、22.04 LTS（64 位元）和 24.04 LTS（64 位元）

作業系統

支援的版本

AlmaLinux

9.4（64 位元）至 9.5（64 位元）和 10（64 位元），包括 SELinux

CentOS

CentOS Stream 9（64 位元）

Debian

11（64 位元）、12（64 位元），包括 SELinux

OpenSUSE 飛躍

15.3（64 位）至 15.6（64 位）

Oracle Linux

8.10（64 位元）、9.1（64 位元）至 9.6（64 位元），包括 SELinux

紅帽

8.10（64 位元）、9.1（64 位元）至 9.6（64 位元）和 10（64 位元），包括 SELinux

洛基

Rocky 9.4 (64 位) 至 9.6 (64 位)，包括 SELinux

SUSE 企業 Linux

15 SP4（64 位元）至 15 SP6（64 位元），包括 SELinux

Ubuntu

20.04 LTS（64 位元）、22.04 LTS（64 位元）和 24.04 LTS（64 位元）

伺服器要求

伺服器必須滿足以下最低要求：

CPU：4 核
內存：16GB 內存
磁碟空間：35 GB 可用磁碟空間

雲端服務提供者支持

可疑用戶活動資料可以儲存在 AWS 和 Azure 的以下區域：

雲端提供者	地區
AWS	亞太地區（雪梨）（ap-southeast-2）歐洲（法蘭克福）(eu-central-1) 美國東部（維吉尼亞北部）（us-east-1）
Azure	美國東部

雲端提供者

地區

AWS

亞太地區（雪梨）（ap-southeast-2）
歐洲（法蘭克福）(eu-central-1)
美國東部（維吉尼亞北部）（us-east-1）

Azure

美國東部

步驟

如果這是您第一次建立使用者活動代理，請前往儀表板。在使用者活動圖塊中，選擇啟動。

如果您要新增其他使用者活動代理，請前往*設定*，找到使用者活動圖塊，然後選擇管理。在使用者活動畫面上，選擇使用者活動代理選項卡，然後選擇新增。
選擇雲端提供者，然後選擇區域。選擇下一步。
提供用戶活動代理詳細資訊：
- 使用者活動代理名稱
- 控制台代理 - 控制台代理程式應與使用者活動代理程式位於同一網路中，並可透過 SSH 連線至使用者活動代理程式的 IP 位址。
- VM DNS 名稱或 IP 位址
- 虛擬機器 SSH 金鑰
選擇下一步。
檢查您的設定。選擇*啟動*以完成新增使用者活動代理程式。
確認用戶活動代理程式已成功建立。在使用者活動圖塊中，成功部署顯示為「正在執行」。

結果

成功建立使用者活動代理程式後，返回設定選單，然後在使用者活動圖塊中選擇管理。選擇用戶活動代理選項卡，然後選擇用戶活動代理以查看有關它的詳細信息，包括數據收集器和用戶目錄連接器。

新增資料收集器

當您啟用具有可疑使用者活動偵測功能的勒索軟體保護策略時，資料收集器會自動建立。有關詳細信息，請參閱新增檢測策略。

您可以查看資料收集器的詳細資訊。從「設定」中，選擇「使用者活動」圖塊中的「管理」。選擇資料收集器選項卡，然後選擇資料收集器以查看其詳細資訊或暫停它。

使用者活動設定的螢幕截圖

新增使用者目錄連接器

若要將使用者 ID 對應到使用者名，您必須建立使用者目錄連接器。

步驟

在勒索軟體復原中，前往*設定*。
在使用者活動圖塊中，選擇管理。
選擇使用者目錄連接器選項卡，然後選擇新增。

配置連接。請在每個欄位中填寫所需資訊。

場地描述

場地	描述
姓名	請為使用者目錄連接器輸入一個唯一的名稱
使用者目錄類型	目錄類型
伺服器IP位址或網域名稱	連接所在伺服器的 IP 位址或完全限定網域名稱 (FQDN)
森林名稱或搜尋名稱	您可以將目錄結構的林級別指定為直接網域名稱（例如）。 `unit.company.com`）或一組相對專有名詞（例如： `DC=unit,DC=company,DC=com`）。你也可以輸入一個 `OU` 按組織單元或 `CN` 僅限特定使用者（例如： `CN=user,OU=engineering,DC=unit,DC=company,DC=com`）。
綁定DN	BIND DN 是被允許搜尋目錄的使用者帳戶，例如 user@domain.com。使用者需要網域唯讀權限。
綁定密碼	BIND DN 中提供的使用者密碼
協定	協定字段為可選字段。您可以使用 LDAP、LDAPS 或基於 StartTLS 的 LDAP。
港口	請輸入您選擇的連接埠號

姓名

請為使用者目錄連接器輸入一個唯一的名稱

使用者目錄類型

目錄類型

伺服器IP位址或網域名稱

連接所在伺服器的 IP 位址或完全限定網域名稱 (FQDN)

森林名稱或搜尋名稱

您可以將目錄結構的林級別指定為直接網域名稱（例如）。 unit.company.com）或一組相對專有名詞（例如： DC=unit,DC=company,DC=com）。你也可以輸入一個 OU 按組織單元或 CN 僅限特定使用者（例如： CN=user,OU=engineering,DC=unit,DC=company,DC=com）。

綁定DN

BIND DN 是被允許搜尋目錄的使用者帳戶，例如 user@domain.com。使用者需要網域唯讀權限。

綁定密碼

BIND DN 中提供的使用者密碼

協定

協定字段為可選字段。您可以使用 LDAP、LDAPS 或基於 StartTLS 的 LDAP。

港口

請輸入您選擇的連接埠號

使用者目錄連線的螢幕截圖

提供屬性映射詳細資訊：

顯示名稱
SID（如果您使用 LDAP）
使用者名稱
Unix ID（如果您使用 NFS）
如果您選擇“包含可選屬性”，您還可以新增電子郵件地址、電話號碼、角色、州/省、國家/地區、部門、照片、經理 DN 或群組。選擇“進階”以新增可選的搜尋查詢。

選擇新增。
傳回使用者目錄連接器標籤以檢查使用者目錄連接器的狀態。如果建立成功，使用者目錄連接器的狀態顯示為*正在執行*。

刪除使用者目錄連接器

在勒索軟體復原中，前往*設定*。
找到使用者活動圖塊，選擇管理。
選擇使用者目錄連接器選項卡。
確定要刪除的使用者目錄連接器。在行尾的操作選單中，選擇三個點 `…`然後刪除。
在彈出的對話方塊中，選擇刪除以確認您的動作。

回應可疑用戶活動警報

配置可疑使用者活動偵測後，您可以在警報頁面中監控事件。有關更多信息，請參閱"偵測惡意活動和異常使用者行為" 。