Skip to main content
NetApp Ransomware Resilience
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在NetApp Ransomware Resilience中配置可疑使用者活動偵測

貢獻者 netapp-ahibbard
PDF

勒索軟體抵禦能力支援在偵測策略中偵測可疑使用者行為,使您能夠在使用者層級解決勒索軟體事件。

勒索軟體彈性透過分析ONTAP中 FPolicy 產生的使用者活動事件來偵測可疑的使用者活動。要收集用戶活動數據,您需要部署一個或多個用戶活動代理程式。該代理程式是可連接到租用戶上的裝置的 Linux 伺服器或 VM。

代理商和收藏家

必須安裝至少一個使用者活動代理程式才能啟動 Ransomware Resilience 中的可疑使用者活動偵測。當您從勒索軟體復原儀表板啟動可疑使用者活動功能時,您需要提供代理主機資訊來啟動該功能。

一個代理可以託管多個資料收集器。資料收集器將資料傳送到 SaaS 位置進行分析。有兩種類型的收集器:

  • 資料收集器從ONTAP收集使用者活動資料。

  • 使用者目錄連接器連接到您的目錄以將使用者 ID 對應到使用者名稱。

收集器在勒索軟體恢復設定中配置。

啟用可疑用戶活動偵測

所需的控制台角色 若要啟動可疑使用者活動偵測,您需要組織管理員角色。對於可疑使用者活動的後續配置,您需要 Ransomware Resilience 使用者行為管理員角色。"了解NetApp Console的勒索軟體復原角色"

新增用戶活動代理

使用者活動代理程式是資料收集器的可執行環境;資料收集器與勒索軟體復原共享使用者活動事件。您必須建立至少一個使用者活動代理程式才能啟用可疑使用者活動偵測。

要求

要安裝用戶活動代理,您需要一個符合以下支援的作業系統和伺服器要求的主機或虛擬機器。

作業系統需求

作業系統

支援的版本

AlmaLinux

9.4(64 位元)至 9.5(64 位元)和 10(64 位元),包括 SELinux

CentOS

CentOS Stream 9(64 位元)

Debian

11(64 位元)、12(64 位元),包括 SELinux

OpenSUSE 飛躍

15.3(64 位)至 15.6(64 位)

Oracle Linux

8.10(64 位元)、9.1(64 位元)至 9.6(64 位元),包括 SELinux

紅帽

8.10(64 位元)、9.1(64 位元)至 9.6(64 位元)和 10(64 位元),包括 SELinux

洛基

Rocky 9.4(64 位)至 9.6(64 位),包括 SELinux

SUSE 企業 Linux

15 SP4(64 位元)至 15 SP6(64 位元),包括 SELinux

Ubuntu

20.04 LTS(64 位元)、22.04 LTS(64 位元)和 24.04 LTS(64 位元)

伺服器要求

伺服器必須滿足以下最低要求:

  • CPU:4 核

  • 內存:16GB 內存

  • 磁碟空間:35GB 可用磁碟空間

步驟

  1. 如果這是您第一次建立使用者活動代理,請前往儀表板。在使用者活動圖塊中,選擇啟動

    如果您要新增其他使用者活動代理,請前往*設定*,找到使用者活動圖塊,然後選擇管理。在使用者活動畫面上,選擇使用者活動代理選項卡,然後選擇新增

  2. 選擇雲端提供者,然後選擇區域。選擇下一步

  3. 提供用戶活動代理詳細資訊:

    • 使用者活動代理名稱

    • 控制台代理 - 控制台代理應與使用者活動代理程式位於同一網路中,並透過 SSH 連接到使用者活動代理 IP 位址。

    • VM DNS 名稱或 IP 位址

    • 虛擬機器 SSH 金鑰

      新增活動代理介面截圖。

  4. 選擇下一步

  5. 檢查您的設定。選擇*啟動*以完成新增使用者活動代理程式。

  6. 確認用戶活動代理程式已成功建立。在使用者活動圖塊中,成功部署顯示為「正在執行」。

結果

成功建立使用者活動代理程式後,返回設定選單,然後在使用者活動圖塊中選擇管理。選擇用戶活動代理選項卡,然後選擇用戶活動代理以查看有關它的詳細信息,包括數據收集器和用戶目錄連接器。

新增資料收集器

當您啟用具有可疑使用者活動偵測功能的勒索軟體保護策略時,資料收集器會自動建立。有關更多信息,請參閱新增檢測策略

您可以查看資料收集器的詳細資訊。從「設定」中,選擇「使用者活動」圖塊中的「管理」。選擇資料收集器選項卡,然後選擇資料收集器以查看其詳細資訊或暫停它。

使用者活動設定的螢幕截圖

新增使用者目錄連接器

若要將使用者 ID 對應到使用者名,您必須建立使用者目錄連接器。

步驟

  1. 在勒索軟體復原中,前往*設定*。

  2. 在使用者活動圖塊中,選擇管理

  3. 選擇使用者目錄連接器選項卡,然後選擇新增

  4. 提供連接的詳細資訊:

    • 姓名

    • 使用者目錄類型

    • 伺服器IP位址或網域名稱

    • 森林名稱或搜尋名稱

    • BIND 網域

    • 綁定密碼

    • 協議(可選)

    • 港口

      使用者目錄連線的螢幕截圖

    提供屬性映射詳細資訊:

    • 顯示名稱

    • SID(如果您使用 LDAP)

    • 使用者名稱

    • Unix ID(如果您使用 NFS)

    • 選擇*包括可選屬性*。您還可以包括電子郵件地址、電話號碼、角色、州、國家、部門、照片、經理 DN 或群組。

      選擇“進階”以新增可選的搜尋查詢。

  5. 選擇新增

  6. 傳回使用者目錄連接器標籤以檢查使用者目錄連接器的狀態。如果建立成功,使用者目錄連接器的狀態顯示為*正在執行*。

刪除使用者目錄連接器

  1. 在勒索軟體復原中,前往*設定*。

  2. 找到使用者活動圖塊,選擇管理

  3. 選擇使用者目錄連接器選項卡。

  4. 確定要刪除的使用者目錄連接器。在行尾的操作選單中,選擇三個點 `…​`然後刪除

  5. 在彈出的對話方塊中,選擇刪除以確認您的動作。

回應可疑用戶活動警報

配置可疑使用者活動偵測後,您可以在警報頁面中監控事件。有關更多信息,請參閱"偵測惡意活動和異常使用者行為"