Skip to main content
NetApp Ransomware Resilience
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在NetApp Ransomware Resilience中配置可疑使用者活動偵測

貢獻者 netapp-ahibbard
PDF

勒索軟體抵禦能力支援在偵測策略中偵測可疑使用者行為,使您能夠在使用者層級解決勒索軟體事件。

勒索軟體彈性透過分析ONTAP中 FPolicy 產生的使用者活動事件來偵測可疑的使用者活動。要收集用戶活動數據,您需要部署一個或多個用戶活動代理程式。該代理程式是可連接到租用戶上的裝置的 Linux 伺服器或 VM。

用戶活動代理和收集器

必須安裝至少一個使用者活動代理程式才能啟動 Ransomware Resilience 中的可疑使用者活動偵測。當您從勒索軟體復原儀表板啟動可疑使用者活動功能時,您需要提供代理主機資訊。

一個代理可以託管多個資料收集器。資料收集器將資料傳送到 SaaS 位置進行分析。有兩種類型的收集器:

  • 資料收集器從ONTAP收集使用者活動資料。

  • 使用者目錄連接器連接到您的目錄以將使用者 ID 對應到使用者名稱。

收集器在勒索軟體恢復設定中配置。

所需的控制台角色 若要啟動可疑使用者活動偵測,您需要組織管理員角色。對於可疑使用者活動的後續配置,您需要 Ransomware Resilience 使用者行為管理員角色。"了解NetApp Console的勒索軟體復原角色"

系統需求

若要安裝使用者活動代理,您需要一台符合下列要求的主機或虛擬機器。

作業系統要求

作業系統 支援的版本

AlmaLinux

9.4(64 位元)至 9.5(64 位元)和 10(64 位元),包括 SELinux

CentOS

CentOS Stream 9(64 位元)

Debian

11(64 位元)、12(64 位元),包括 SELinux

OpenSUSE 飛躍

15.3(64 位)至 15.6(64 位)

Oracle Linux

8.10(64 位元)、9.1(64 位元)至 9.6(64 位元),包括 SELinux

紅帽

8.10(64 位元)、9.1(64 位元)至 9.6(64 位元)和 10(64 位元),包括 SELinux

洛基

Rocky 9.4 (64 位) 至 9.6 (64 位),包括 SELinux

SUSE 企業 Linux

15 SP4(64 位元)至 15 SP6(64 位元),包括 SELinux

Ubuntu

20.04 LTS(64 位元)、22.04 LTS(64 位元)和 24.04 LTS(64 位元)
註 用于用户活动代理的计算机不应运行其他应用程序级别的软件。建議使用專用伺服器。

unzip 安裝需要該指令。這 sudo su - 該命令用於安裝、運行腳本和卸載。

伺服器要求

伺服器必須滿足以下最低要求:

  • CPU:4 核

  • 內存:16GB 內存

  • 磁碟空間:36 GB 可用磁碟空間

註 分配額外的磁碟空間以用於建立檔案系統。請確保檔案系統中至少有 35 GB 的可用空間。+ 如果 /opt 這是從 NAS 儲存裝置掛載的資料夾,本機使用者必須有權限存取此資料夾。如果本機使用者沒有必要的權限,則使用者活動代理程式建立可能會失敗。
註 建議您將使用者活動代理安裝在與勒索軟體復原環境不同的系統上。如果將它們安裝在同一台機器上,則應預留 50 至 55 GB 的磁碟空間。對於 Linux 系統,分配 25-30 GB 的空間 /opt/netapp 以及 25 GB var/log/netapp
提示 建議您使用網路時間協定 (NTP) 或簡單網路時間協定 (SNTP) 同步ONTAP系統和使用者活動代理程式電腦上的時間。

雲端網路存取規則

查看您所在地區(亞太地區、歐洲或美國)的雲端網路存取規則。

基於亞太地區的用戶活動代理部署

協定 港口 來源 目的地 描述

TCP

443

使用者活動代理

勒索軟體恢復服務

取得勒索軟體復原能力

TCP

443

使用者活動代理

勒索軟體恢復服務

存取身份驗證服務

歐洲用戶活動代理部署

協定 港口 來源 目的地 描述

TCP

443

使用者活動代理

勒索軟體恢復服務

取得勒索軟體復原能力

TCP

443

使用者活動代理

勒索軟體恢復服務

存取身份驗證服務

美國用戶活動代理部署

協定 港口 來源 目的地 描述

TCP

443

使用者活動代理

勒索軟體恢復服務

取得勒索軟體復原能力

TCP

443

使用者活動代理

勒索軟體恢復服務

存取身份驗證服務

網路內規則

協定 港口 來源 目的地 描述

TCP

389(LDAP) 636(LDAP/啟動-tls)

使用者活動代理

LDAP 伺服器 URL

連線到 LDAP

TCP

443

使用者活動代理

叢集或SVM管理IP位址(取決於SVM收集器配置)

API 與ONTAP進行通信

TCP

35000 - 55000

SVM 資料 LIF IP 位址

使用者活動代理

ONTAP與使用者活動代理程式之間關於 Fpolicy 事件的通訊。為了讓ONTAP能夠向用戶活動代理發送事件,必須向其開放這些端口,包括用戶活動代理本身上的任何防火牆(如果存在)。+ 注意:您不需要預留*所有*這些端口,但您為此預留的端口必須在此範圍內。建議您先預留 100 個端口,如有必要再增加。

TCP

35000-55000

叢集管理IP

使用者活動代理

ONTAP叢集管理 IP 與使用者活動代理程式之間關於 EMS 事件 的通訊。為了讓ONTAP向用戶活動代理發送 EMS 事件,必須向用戶活動代理開放這些端口,包括用戶活動代理本身上的任何防火牆。+ 注意:您不需要預留*所有*這些端口,但您為此預留的端口必須在此範圍內。建議您先預留 100 個端口,如有必要再增加。

SSH

22

使用者活動代理

叢集管理

需要 CIFS/SMB 使用者阻止。

啟用可疑用戶活動偵測

確保您已滿足以下條件: "系統需求" 用戶活動代理。請確保您的配置符合支援的雲端提供者和區域要求。

雲端服務提供者支持

可疑用戶活動資料可以儲存在 AWS 和 Azure 的以下區域:

雲端提供者 地區

AWS

  • 亞太地區(雪梨)(ap-southeast-2)

  • 歐洲(法蘭克福)(eu-central-1)

  • 美國東部(維吉尼亞北部)(us-east-1)

Azure

美國東部

新增用戶活動代理

使用者活動代理程式是資料收集器的可執行環境;資料收集器與勒索軟體復原共享使用者活動事件。您必須建立至少一個使用者活動代理程式才能啟用可疑使用者活動偵測。

步驟

  1. 如果這是您第一次建立使用者活動代理,請前往儀表板。在使用者活動圖塊中,選擇啟動

    如果您要新增其他使用者活動代理,請前往*設定*,找到使用者活動圖塊,然後選擇管理。在使用者活動畫面上,選擇使用者活動代理選項卡,然後選擇新增

  2. 選擇雲端提供者,然後選擇區域。選擇下一步

  3. 提供用戶活動代理詳細資訊:

    • 使用者活動代理名稱

    • 控制台代理 - 控制台代理程式應與使用者活動代理程式位於同一網路中,並可透過 SSH 連線至使用者活動代理程式的 IP 位址。

    • VM DNS 名稱或 IP 位址

    • 虛擬機器 SSH 金鑰

      新增活動代理介面截圖。

  4. 選擇下一步

  5. 檢查您的設定。選擇*啟動*以完成新增使用者活動代理程式。

  6. 確認用戶活動代理程式已成功建立。在使用者活動圖塊中,成功部署顯示為「正在執行」。

結果

成功建立使用者活動代理程式後,返回設定選單,然後在使用者活動圖塊中選擇管理。選擇用戶活動代理選項卡,然後選擇用戶活動代理以查看有關它的詳細信息,包括數據收集器和用戶目錄連接器。

新增資料收集器

當您啟用具有可疑使用者活動偵測功能的勒索軟體保護策略時,資料收集器會自動建立。有關詳細信息,請參閱 新增檢測策略

您可以查看資料收集器的詳細資訊。從「設定」中,選擇「使用者活動」圖塊中的「管理」。選擇資料收集器選項卡,然後選擇資料收集器以查看其詳細資訊或暫停它。

使用者活動設定的螢幕截圖

新增使用者目錄連接器

若要將使用者 ID 對應到使用者名,您必須建立使用者目錄連接器。

步驟

  1. 在勒索軟體復原中,前往*設定*。

  2. 在使用者活動圖塊中,選擇管理

  3. 選擇使用者目錄連接器選項卡,然後選擇新增

  4. 配置連接。請在每個欄位中填寫所需資訊。

    場地 描述

    姓名

    請為使用者目錄連接器輸入一個唯一的名稱

    使用者目錄類型

    目錄類型

    伺服器IP位址或網域名稱

    連接所在伺服器的 IP 位址或完全限定網域名稱 (FQDN)

    森林名稱或搜尋名稱

    您可以將目錄結構的林級別指定為直接網域名稱(例如)。 unit.company.com)或一組相對專有名詞(例如: DC=unit,DC=company,DC=com)。你也可以輸入一個 OU 按組織單元或 CN 僅限特定使用者(例如: CN=user,OU=engineering,DC=unit,DC=company,DC=com)。

    綁定DN

    BIND DN 是被允許搜尋目錄的使用者帳戶,例如 user@domain.com。使用者需要網域唯讀權限。

    綁定密碼

    BIND DN 中提供的使用者密碼

    協定

    協定字段為可選字段。您可以使用 LDAP、LDAPS 或基於 StartTLS 的 LDAP。

    港口

    請輸入您選擇的連接埠號

    使用者目錄連線的螢幕截圖

    提供屬性映射詳細資訊:

    • 顯示名稱

    • SID(如果您使用 LDAP)

    • 使用者名稱

    • Unix ID(如果您使用 NFS)

    • 如果您選擇“包含可選屬性”,您還可以新增電子郵件地址、電話號碼、角色、州/省、國家/地區、部門、照片、經理 DN 或群組。選擇“進階”以新增可選的搜尋查詢。

  5. 選擇新增

  6. 傳回使用者目錄連接器標籤以檢查使用者目錄連接器的狀態。如果建立成功,使用者目錄連接器的狀態顯示為*正在執行*。

刪除使用者目錄連接器

  1. 在勒索軟體復原中,前往*設定*。

  2. 找到使用者活動圖塊,選擇管理

  3. 選擇使用者目錄連接器選項卡。

  4. 確定要刪除的使用者目錄連接器。在行尾的操作選單中,選擇三個點 `…​`然後刪除

  5. 在彈出的對話方塊中,選擇刪除以確認您的動作。

回應可疑用戶活動警報

配置可疑使用者活動偵測後,您可以在警報頁面中監控事件。有關更多信息,請參閱"偵測惡意活動和異常使用者行為"