Managen Sie die Parameter für die Erkennung von Angriffen gegen autonomen Ransomware-Schutz
Ab ONTAP 9.11.1 können Sie die Parameter für die Ransomware-Erkennung auf einem bestimmten Volume mit aktiviertem Autonomous Ransomware Protection ändern und einen bekannten Anstieg als normale Dateiaktivität melden. Durch die Anpassung der Erkennungsparameter wird die Genauigkeit der Berichterstellung auf der Grundlage Ihrer spezifischen Volumenbelastung verbessert.
Wie die Angriffserkennung funktioniert
Wenn sich der Autonomous Ransomware Protection (ARP) im Lernmodus befindet, werden Grundwerte für das Volume-Verhalten entwickelt. Es handelt sich um Entropie, Dateiendungen und – seit ONTAP 9.11.1 – IOPS. Diese Baselines dienen zur Bewertung von Ransomware-Bedrohungen. Weitere Informationen zu diesen Kriterien finden Sie unter Was ARP erkennt.
In ONTAP 9.10.1 gibt ARP eine Warnung aus, wenn beide der folgenden Bedingungen erkannt werden:
-
Mehr als 20 Dateien mit Dateierweiterungen, die bisher nicht im Volume beobachtet wurden
-
Hohe Entropie-Daten
Ab ONTAP 9.11.1 gibt ARP eine Bedrohungswarnung aus, wenn only eine Bedingung erfüllt ist. Wenn beispielsweise mehr als 20 Dateien mit Dateierweiterungen, die zuvor nicht im Volume beobachtet wurden, innerhalb eines Zeitraums von 24 Stunden beobachtet werden, kategorisiert ARP diese Datei als Bedrohung unabhängig der beobachteten Entropie. Die 24-Stunden- und 20-Dateiwerte sind Standardwerte, die geändert werden können.
Um die Anzahl der Falschpositive-Warnungen zu reduzieren, gehen Sie zu Speicher > Volumes > Sicherheit > Workload-Merkmale konfigurieren und deaktivieren Neue Dateitypen überwachen. Diese Einstellung ist in ONTAP 9.14.1 P7, 9.15.1 P1 und 9.16.1 RC und höher standardmäßig deaktiviert. |
Ab ONTAP 9.14.1 können Sie Warnungen konfigurieren, wenn ARP eine neue Dateierweiterung beobachtet und wenn ARP einen Snapshot erstellt. Weitere Informationen finden Sie unter [modify-alerts].
Bestimmte Volumes und Workloads erfordern unterschiedliche Erkennungsparameter. Zum Beispiel kann Ihr ARP-fähiges Volume zahlreiche Arten von Dateierweiterungen hosten. In diesem Fall möchten Sie die Schwellenwertanzahl für nie zuvor gesehene Dateierweiterungen auf eine Zahl ändern, die größer ist als die Standardeinstellung von 20 oder Warnungen deaktivieren, die auf nie zuvor gesehenen Dateierweiterungen basieren. Ab ONTAP 9.11.1 können Sie die Parameter zur Angriffserkennung anpassen, um sie besser auf Ihre spezifischen Workloads anzupassen.
Parameter für die Angriffserkennung ändern
Je nach erwartetem Verhalten des ARP-aktivierten Volumens können Sie die Angriffserkennungsparameter ändern.
-
Anzeigen der vorhandenen Angriffserkennungsparameter:
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>
security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1 Vserver Name : vs1 Volume Name : vol1 Is Detection Based on High Entropy Data Rate? : true Is Detection Based on Never Seen before File Extension? : true Is Detection Based on File Create Rate? : true Is Detection Based on File Rename Rate? : true Is Detection Based on File Delete Rate? : true Is Detection Relaxing Popular File Extensions? : true High Entropy Data Surge Notify Percentage : 100 File Create Rate Surge Notify Percentage : 100 File Rename Rate Surge Notify Percentage : 100 File Delete Rate Surge Notify Percentage : 100 Never Seen before File Extensions Count Notify Threshold : 20 Never Seen before File Extensions Duration in Hour : 24
-
Alle angezeigten Felder können mit booleschen oder ganzzahligen Werten geändert werden. Um ein Feld zu ändern, verwenden Sie den
security anti-ransomware volume attack-detection-parameters modify
Befehl.Eine vollständige Liste der Parameter finden Sie unter "ONTAP-Befehlsreferenz".
Bekannte Überspannungen melden
ARP ändert auch im aktiven Modus weiterhin Basiswerte für Erkennungsparameter. Wenn Sie von Überspannungen in Ihrer Volumenaktivität, entweder einmaligen Überspannungen oder einem Anstieg, der für eine neue Normalität charakteristisch ist, wissen, sollten Sie diese als sicher melden. Die manuelle Meldung dieser Überspannungen als sicher hilft, die Genauigkeit der ARP-Bedrohungsbewertungen zu verbessern.
-
Wenn ein einmaliger Anstieg unter bekannten Umständen auftritt und Sie möchten, dass ARP in Zukunft einen ähnlichen Anstieg meldet, beheben Sie den Anstieg des Workload-Verhaltens:
security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>
-
Wenn eine gemeldete Überspannung als normales Anwendungsverhalten betrachtet werden sollte, melden Sie den Überspannungswert als solche, um den Überspannungswert der Basislinie zu ändern.
security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>
Konfigurieren von ARP-Warnungen
Ab ONTAP 9.14.1 ermöglicht ARP die Angabe von Warnungen für zwei ARP-Ereignisse:
-
Beobachtung der neuen Dateierweiterung auf einem Volume
-
Erstellen eines ARP-Snapshots
Warnmeldungen für diese beiden Ereignisse können für einzelne Volumes oder für die gesamte SVM festgelegt werden. Wenn Sie Alarme für die SVM aktivieren, werden die Meldungseinstellungen nur von Volumes übernommen, die nach dem Aktivieren der Warnmeldung erstellt wurden. Standardmäßig sind Warnmeldungen auf keinem Volume aktiviert.
Ereigniswarnungen können durch Verifizierung durch mehrere Administratoren gesteuert werden. Weitere Informationen finden Sie unter Verifizierung mehrerer Administratoren mit Volumes, die mit ARP gesichert sind.
-
Navigieren Sie zu Volumen. Wählen Sie das einzelne Volume aus, für das Sie die Einstellungen ändern möchten.
-
Wählen Sie die Registerkarte Sicherheit und dann Ereignissicherheitseinstellungen.
-
Um Warnungen für Neue Dateierweiterung entdeckt und Ransomware Snapshot erstellt zu erhalten, wählen Sie das Dropdown-Menü unter der Überschrift Schweregrad. Ändern Sie die Einstellung von Ereignis nicht generieren in Hinweis.
-
Wählen Sie Speichern.
-
Navigieren Sie zu Storage VM, und wählen Sie dann die SVM aus, für die Sie Einstellungen aktivieren möchten.
-
Suchen Sie unter der Überschrift Sicherheit die Anti-Ransomware-Karte. Wählen Sie dann Ransomware-Ereignis-Schweregrad bearbeiten.
-
Um Warnungen für Neue Dateierweiterung entdeckt und Ransomware Snapshot erstellt zu erhalten, wählen Sie das Dropdown-Menü unter der Überschrift Schweregrad. Ändern Sie die Einstellung von Ereignis nicht generieren in Hinweis.
-
Wählen Sie Speichern.
-
So legen Sie Warnungen für eine neue Dateierweiterung fest:
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
So legen Sie Warnungen für die Erstellung eines ARP-Snapshots fest:
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
Bestätigen Sie Ihre Einstellungen mit dem
anti-ransomware volume event-log show
Befehl.
-
So legen Sie Warnungen für eine neue Dateierweiterung fest:
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
So legen Sie Warnungen für die Erstellung eines ARP-Snapshots fest:
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
Bestätigen Sie Ihre Einstellungen mit dem
security anti-ransomware vserver event-log show
Befehl.