Skip to main content
Data Infrastructure Insights
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Workload Security: Simulation eines Angriffs

Beitragende netapp-alavoie
PDFs

Mithilfe der Anweisungen auf dieser Seite können Sie einen Angriff für das Testen oder Demonieren der Workload-Sicherheit mithilfe des im Lieferumfang enthaltenen Skripts Ransomware Simulation simulieren.

Dinge zu beachten, bevor Sie beginnen

  • Das Ransomware-Simulationsskript funktioniert nur auf Linux. Das Simulationsskript sollte auch Warnmeldungen mit hoher Zuverlässigkeit generieren, falls der Benutzer ONTAP ARP mit Workload Security integriert hat.

  • Workload Security erkennt mit NFS 4.1 generierte Ereignisse und Warnungen nur, wenn die ONTAP-Version 9.15 oder höher ist.

  • Das Skript wird mit den Installationsdateien des Workload Security Agent bereitgestellt. Sie ist auf jedem Computer verfügbar, auf dem ein Workload Security Agent installiert ist.

  • Sie können das Skript auf dem Workload Security Agent-Rechner selbst ausführen; es ist nicht erforderlich, einen anderen Linux-Rechner vorzubereiten. Wenn Sie jedoch das Skript lieber auf einem anderen System ausführen möchten, kopieren Sie einfach das Skript und führen es dort aus.

  • Benutzer können sich je nach ihren Vorlieben und Systemanforderungen entweder für das Python- oder das Shell-Skript entscheiden.

  • Das Python-Skript erfordert eine Installation. Wenn Sie Python nicht verwenden möchten, verwenden Sie das Shell-Skript.

Richtlinien:

Dieses Skript sollte auf einer SVM ausgeführt werden, die einen Ordner mit einer beträchtlichen Anzahl zu verschlüsselnder Dateien enthält (idealerweise 100 oder mehr, einschließlich der Dateien in Unterordnern). Stellen Sie sicher, dass die Dateien nicht leer sind.

Um die Warnung zu generieren, pausieren Sie den Collector vor der Erstellung der Testdaten vorübergehend. Sobald die Beispieldateien generiert sind, setzen Sie den Collector fort und starten Sie den Verschlüsselungsprozess.

Schritte

Bereiten Sie das System vor:

Mounten Sie zunächst das Zielvolume auf dem Computer. Sie können entweder einen NFS- oder einen CIFS-Export mounten.

So mounten Sie den NFS-Export in Linux:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

Mounten Sie NFS Version 4.1 nicht; es wird von FPolicy nicht unterstützt.

So mounten Sie CIFS in Linux:

mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa

Aktivieren Sie den autonomen ONTAP-Ransomware-Schutz (optional):

Wenn Ihre ONTAP-Clusterversion 9.11.1 oder höher ist, können Sie den ONTAP Ransomware Protection-Dienst aktivieren, indem Sie den folgenden Befehl auf der ONTAP-Befehlskonsole ausführen.

 security anti-ransomware volume enable -volume [volume_name] -vserver [svm_name]
Richten Sie als Nächstes einen Data Collector ein:

  1. Konfigurieren Sie den Workload Security Agent, falls er noch nicht ausgeführt wurde.

  2. Konfigurieren Sie einen SVM-Datensammler, falls dies noch nicht geschehen ist.

  3. Stellen Sie sicher, dass beim Konfigurieren des Datensammlers das Mount-Protokoll ausgewählt ist.

Generieren Sie die Beispieldateien programmgesteuert:

Bevor Sie die Dateien erstellen, müssen Sie zuerst stoppen oder "den Datensammler anhalten" Verarbeitung.

Bevor Sie die Simulation ausführen, müssen Sie zuerst Dateien hinzufügen, die verschlüsselt werden sollen. Sie können die zu verschlüsselnden Dateien entweder manuell in den Zielordner kopieren oder eines der mitgelieferten Skripts verwenden, um die Dateien programmgesteuert zu erstellen. Unabhängig von der gewählten Methode müssen mindestens 100 zu verschlüsselnde Dateien vorhanden sein.

Wenn Sie die Dateien programmgesteuert erstellen möchten, können Sie die Shell oder Python verwenden:

Hülse:

  1. Melden Sie sich im Feld Agent an.

  2. Mounten Sie eine NFS- oder CIFS-Freigabe vom SVM des Filers auf der Agent-Maschine. CD in diesen Ordner.

  3. Kopieren Sie das Skript aus dem Agent-Installationsverzeichnis (%AGENT_INSTALL_DIR/ agent/install/ransomware_simulation/shell/create_dataset.sh) an den Ziel-Mount-Speicherort.

  4. Führen Sie den folgenden Befehl mithilfe der Skripts im bereitgestellten Verzeichnis (z. B. /root/demo) aus, um den Ordner und die Dateien des Testdatensatzes zu erstellen:

     './create_dataset.sh'
. Dadurch werden 100 nicht leere Dateien mit verschiedenen Erweiterungen im Mount-Ordner unter einem Verzeichnis namens „test_dataset“ erstellt.

Python:

Python-Skript Voraussetzung:

  • Installieren Sie Python (falls noch nicht installiert).

    • Laden Sie Python 3.5.2 oder höher herunter von https://www.python.org/ .

    • Um die Python-Installation zu überprüfen, führen Sie python --version .

    • Das Python-Skript wurde bereits in Versionen ab 3.5.2 getestet.

  • Installieren Sie pip, falls es noch nicht installiert ist:

    • Laden Sie das Skript get-pip.py herunter von https://bootstrap.pypa.io/ .

    • Installieren Sie pip mit python get-pip.py .

    • Überprüfen Sie die Pip-Installation mit pip --version .

  • PyCryptodome-Bibliothek:

    • Das Skript verwendet die PyCryptodome-Bibliothek.

    • Installieren Sie PyCryptodome mit pip install pycryptodome .

    • Bestätigen Sie die Installation von PyCryptodome durch Ausführen pip show pycryptodome .

Python-Skript zum Erstellen von Dateien:

  1. Melden Sie sich im Feld Agent an.

  2. Mounten Sie eine NFS- oder CIFS-Freigabe vom SVM des Filers auf der Agent-Maschine. CD in diesen Ordner.

  3. Kopieren Sie das Skript aus dem Agent-Installationsverzeichnis (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/create_dataset.py) an den Ziel-Mount-Speicherort.

  4. Führen Sie den folgenden Befehl mithilfe der Skripts im bereitgestellten Verzeichnis (z. B. /root/demo) aus, um den Ordner und die Dateien für das Test-Dataset zu erstellen:

     'python create_dataset.py'
. Dadurch werden 100 nicht leere Dateien mit verschiedenen Erweiterungen im Mount-Ordner unter einem Verzeichnis namens „test_dataset“ erstellt.

Fortsetzen des Collectors

Wenn Sie den Collector vor dem Ausführen dieser Schritte angehalten haben, denken Sie bitte daran, den Collector wieder aufzunehmen, sobald die Beispieldateien erstellt wurden.

Generieren Sie die Beispieldateien programmgesteuert:

Bevor Sie die Dateien erstellen, müssen Sie zuerst stoppen oder "den Datensammler anhalten" Verarbeitung.

Um eine Ransomware-Warnung zu generieren, können Sie das enthaltene Skript ausführen, das eine Ransomware-Warnung in Workload Security simuliert.

Hülse:

  1. Kopieren Sie das Skript aus dem Agent-Installationsverzeichnis (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/simulate_attack.sh) an den Ziel-Mount-Speicherort.

  2. Führen Sie den folgenden Befehl mithilfe der Skripts im bereitgestellten Verzeichnis (z. B. /root/demo) aus, um den Testdatensatz zu verschlüsseln:

     './simulate_attack.sh'
. Dadurch werden die im Verzeichnis „test_dataset“ erstellten Beispieldateien verschlüsselt.

Python:

  1. Kopieren Sie das Skript aus dem Agent-Installationsverzeichnis (%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/simulate_attack.py) an den Ziel-Mount-Speicherort.

  2. Bitte beachten Sie, dass die Python-Voraussetzungen gemäß dem Abschnitt „Voraussetzungen für Python-Skripte“ installiert werden.

  3. Führen Sie den folgenden Befehl mithilfe der Skripts im bereitgestellten Verzeichnis (z. B. /root/demo) aus, um den Testdatensatz zu verschlüsseln:

     'python simulate_attack.py'
. Dadurch werden die im Verzeichnis „test_dataset“ erstellten Beispieldateien verschlüsselt.

Generieren einer Warnung in Workload Security

Sobald die Ausführung des Simulatorskripts abgeschlossen ist, wird innerhalb weniger Minuten eine Warnung auf der Web-Benutzeroberfläche angezeigt.

Hinweis: Falls alle der folgenden Bedingungen erfüllt sind, wird eine Warnung mit hoher Zuverlässigkeit generiert.

  1. Überwachte SVM-ONTAP-Version höher als 9.11.1

  2. ONTAP Autonomous Ransomware Protection konfiguriert

  3. Der Workload Security Data Collector wird im Clustermodus hinzugefügt.

Workload Security erkennt Ransomware-Muster basierend auf dem Benutzerverhalten, während ONTAP ARP Ransomware-Aktivitäten basierend auf Verschlüsselungsaktivitäten in Dateien erkennt.

Wenn die Bedingungen erfüllt sind, kennzeichnet Workload Security die Warnungen als Warnungen mit hoher Zuverlässigkeit.

Beispiel für eine Warnung mit hoher Zuverlässigkeit auf der Seite mit der Warnungsliste:

Beispiel für eine Warnung mit hoher Zuverlässigkeit, Listenseite

Beispiel für die Details einer Warnung mit hoher Zuverlässigkeit:

Beispiel für eine Warnung mit hoher Zuverlässigkeit, Detailseite

Alarm wird mehrfach ausgelöst

Workload Security lernt das Benutzerverhalten und generiert keine Warnungen bei wiederholten Ransomware-Angriffen innerhalb von 24 Stunden für denselben Benutzer.

Um einen neuen Alarm mit einem anderen Benutzer zu generieren, führen Sie dieselben Schritte erneut aus (Erstellen von Testdaten und anschließendes Verschlüsseln der Testdaten).