Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Integration mit ONTAP Autonomous Ransomware Protection

10/14/2025 Beitragende

PDFs

Die Funktion ONTAP Autonomous Ransomware Protection (ARP) nutzt Workload-Analysen in NAS-Umgebungen (NFS und SMB), um proaktiv ungewöhnliche Aktivitäten in Dateien zu erkennen und davor zu warnen, die auf einen Ransomware-Angriff hindeuten könnten.

Weitere Details und Lizenzanforderungen zu ARP finden Sie"hier," .

Workload Security lässt sich in ONTAP integrieren, um ARP-Ereignisse zu empfangen und eine zusätzliche Analyse- und automatische Antwortebene bereitzustellen.

Workload Security empfängt die ARP-Ereignisse von ONTAP und führt die folgenden Aktionen aus:

Korreliert Volume-Verschlüsselungsereignisse mit der Benutzeraktivität, um zu ermitteln, wer den Schaden verursacht.
Implementiert automatische Antwortrichtlinien (falls definiert)
Bietet forensische Funktionen:
- Ermöglichen Sie Kunden die Durchführung von Untersuchungen zu Datenschutzverletzungen.
- Ermitteln Sie, welche Dateien betroffen waren, und beschleunigen Sie so die Wiederherstellung und die Durchführung von Untersuchungen zu Datenschutzverletzungen.

Voraussetzungen

Mindestversion von ONTAP : 9.11.1
ARP-fähige Volumes. Details zur Aktivierung von ARP finden Sie"hier," . ARP muss über OnCommand System Manager aktiviert werden. Workload Security kann ARP nicht aktivieren.
Der Workload Security Collector sollte über die Cluster-IP hinzugefügt werden.
Damit diese Funktion funktioniert, sind Anmeldeinformationen auf Clusterebene erforderlich. Mit anderen Worten: Beim Hinzufügen der SVM müssen Anmeldeinformationen auf Clusterebene verwendet werden.

Erforderliche Benutzerberechtigungen

Wenn Sie Anmeldeinformationen für die Clusterverwaltung verwenden, sind keine neuen Berechtigungen erforderlich.

Wenn Sie einen benutzerdefinierten Benutzer (z. B. csuser) mit dem Benutzer erteilten Berechtigungen verwenden, führen Sie die folgenden Schritte aus, um Workload Security die Berechtigung zum Sammeln von ARP-bezogenen Informationen von ONTAP zu erteilen.

Führen Sie für csuser mit Cluster-Anmeldeinformationen Folgendes über die ONTAP Befehlszeile aus:

security login role create -role csrole -cmddirname "volume" -access readonly
security login role create -role csrole -cmddirname "security anti-ransomware volume" -access readonly

Lesen Sie mehr über die Konfiguration anderer"ONTAP-Berechtigungen" .

Beispielwarnung

Nachfolgend sehen Sie ein Beispiel für eine Warnung, die aufgrund eines ARP-Ereignisses generiert wurde:

Ransomware-Alarm – oberer Abschnitt

Ein Banner mit hoher Vertrauenswürdigkeit weist darauf hin, dass der Angriff neben Dateiverschlüsselungsaktivitäten auch Ransomware-Verhalten gezeigt hat. Das Diagramm der verschlüsselten Dateien zeigt den Zeitstempel an, zu dem die Volume-Verschlüsselungsaktivität von der ARP-Lösung erkannt wurde.

Einschränkungen

Falls eine SVM nicht von Workload Security überwacht wird, aber von ONTAP ARP-Ereignisse generiert werden, werden die Ereignisse dennoch von Workload Security empfangen und angezeigt. Forensische Informationen im Zusammenhang mit der Warnung sowie die Benutzerzuordnung werden jedoch nicht erfasst oder angezeigt.

Fehlerbehebung

Bekannte Probleme und deren Lösungen werden in der folgenden Tabelle beschrieben.

Problem:	Auflösung:
E-Mail-Benachrichtigungen werden 24 Stunden nach Erkennung eines Angriffs empfangen. In der Benutzeroberfläche werden die Warnungen 24 Stunden vorher angezeigt, wenn die E-Mails von Data Infrastructure Insights Workload Security empfangen werden.	Wenn ONTAP das Ereignis Ransomware erkannt an Data Infrastructure Insights Workload Security (d. h. Workload Security) sendet, wird die E-Mail gesendet. Das Ereignis enthält eine Liste der Angriffe und deren Zeitstempel. Die Workload Security-Benutzeroberfläche zeigt den Alarmzeitstempel der ersten angegriffenen Datei an. ONTAP sendet das Ereignis Ransomware erkannt an Data Infrastructure Insights, wenn eine bestimmte Anzahl von Dateien verschlüsselt ist. Daher kann es zu einer Differenz zwischen dem Zeitpunkt, zu dem die Warnung in der Benutzeroberfläche angezeigt wird, und dem Zeitpunkt, zu dem die E-Mail gesendet wird, kommen.

Problem:

Auflösung:

E-Mail-Benachrichtigungen werden 24 Stunden nach Erkennung eines Angriffs empfangen. In der Benutzeroberfläche werden die Warnungen 24 Stunden vorher angezeigt, wenn die E-Mails von Data Infrastructure Insights Workload Security empfangen werden.

Wenn ONTAP das Ereignis Ransomware erkannt an Data Infrastructure Insights Workload Security (d. h. Workload Security) sendet, wird die E-Mail gesendet. Das Ereignis enthält eine Liste der Angriffe und deren Zeitstempel. Die Workload Security-Benutzeroberfläche zeigt den Alarmzeitstempel der ersten angegriffenen Datei an. ONTAP sendet das Ereignis Ransomware erkannt an Data Infrastructure Insights, wenn eine bestimmte Anzahl von Dateien verschlüsselt ist. Daher kann es zu einer Differenz zwischen dem Zeitpunkt, zu dem die Warnung in der Benutzeroberfläche angezeigt wird, und dem Zeitpunkt, zu dem die E-Mail gesendet wird, kommen.