Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Managen Sie die Parameter für die Erkennung von Angriffen gegen autonomen Ransomware-Schutz

Beitragende

Ab ONTAP 9.11.1 können Sie die Parameter für die Ransomware-Erkennung auf einem bestimmten Volume mit aktiviertem Autonomous Ransomware Protection ändern und einen bekannten Anstieg als normale Dateiaktivität melden. Durch die Anpassung der Erkennungsparameter wird die Genauigkeit der Berichterstellung auf der Grundlage Ihrer spezifischen Volumenbelastung verbessert.

Wie die Angriffserkennung funktioniert

Wenn sich der Autonomous Ransomware Protection (ARP) im Lernmodus befindet, werden Grundwerte für das Volume-Verhalten entwickelt. Es handelt sich um Entropie, Dateiendungen und – seit ONTAP 9.11.1 – IOPS. Diese Baselines dienen zur Bewertung von Ransomware-Bedrohungen. Weitere Informationen zu diesen Kriterien finden Sie unter Was ARP erkennt.

In ONTAP 9.10.1 gibt ARP eine Warnung aus, wenn beide der folgenden Bedingungen erkannt werden:

  • Mehr als 20 Dateien mit Dateierweiterungen, die bisher nicht im Volume beobachtet wurden

  • Hohe Entropie-Daten

Ab ONTAP 9.11.1 gibt ARP eine Bedrohungswarnung aus, wenn only eine Bedingung erfüllt ist. Wenn beispielsweise mehr als 20 Dateien mit Dateierweiterungen, die zuvor nicht im Volume beobachtet wurden, innerhalb eines Zeitraums von 24 Stunden beobachtet werden, kategorisiert ARP diese Datei als Bedrohung unabhängig der beobachteten Entropie. Die 24-Stunden- und 20-Dateiwerte sind Standardwerte, die geändert werden können.

Hinweis Um die Anzahl der Falschpositive-Warnungen zu reduzieren, gehen Sie zu Speicher > Volumes > Sicherheit > Workload-Merkmale konfigurieren und deaktivieren Neue Dateitypen überwachen. Diese Einstellung ist in ONTAP 9.14.1 P7, 9.15.1 P1 und 9.16.1 RC und höher standardmäßig deaktiviert.

Ab ONTAP 9.14.1 können Sie Warnungen konfigurieren, wenn ARP eine neue Dateierweiterung beobachtet und wenn ARP einen Snapshot erstellt. Weitere Informationen finden Sie unter [modify-alerts].

Bestimmte Volumes und Workloads erfordern unterschiedliche Erkennungsparameter. Zum Beispiel kann Ihr ARP-fähiges Volume zahlreiche Arten von Dateierweiterungen hosten. In diesem Fall möchten Sie die Schwellenwertanzahl für nie zuvor gesehene Dateierweiterungen auf eine Zahl ändern, die größer ist als die Standardeinstellung von 20 oder Warnungen deaktivieren, die auf nie zuvor gesehenen Dateierweiterungen basieren. Ab ONTAP 9.11.1 können Sie die Parameter zur Angriffserkennung anpassen, um sie besser auf Ihre spezifischen Workloads anzupassen.

Parameter für die Angriffserkennung ändern

Je nach erwartetem Verhalten des ARP-aktivierten Volumens können Sie die Angriffserkennungsparameter ändern.

Schritte
  1. Anzeigen der vorhandenen Angriffserkennungsparameter:

    security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                                 Vserver Name : vs1
                                                  Volume Name : vol1
                Is Detection Based on High Entropy Data Rate? : true
      Is Detection Based on Never Seen before File Extension? : true
                      Is Detection Based on File Create Rate? : true
                      Is Detection Based on File Rename Rate? : true
                      Is Detection Based on File Delete Rate? : true
               Is Detection Relaxing Popular File Extensions? : true
                    High Entropy Data Surge Notify Percentage : 100
                     File Create Rate Surge Notify Percentage : 100
                     File Rename Rate Surge Notify Percentage : 100
                     File Delete Rate Surge Notify Percentage : 100
     Never Seen before File Extensions Count Notify Threshold : 20
           Never Seen before File Extensions Duration in Hour : 24
  2. Alle angezeigten Felder können mit booleschen oder ganzzahligen Werten geändert werden. Um ein Feld zu ändern, verwenden Sie den security anti-ransomware volume attack-detection-parameters modify Befehl.

    Eine vollständige Liste der Parameter finden Sie unter "ONTAP-Befehlsreferenz".

Bekannte Überspannungen melden

ARP ändert auch im aktiven Modus weiterhin Basiswerte für Erkennungsparameter. Wenn Sie von Überspannungen in Ihrer Volumenaktivität, entweder einmaligen Überspannungen oder einem Anstieg, der für eine neue Normalität charakteristisch ist, wissen, sollten Sie diese als sicher melden. Die manuelle Meldung dieser Überspannungen als sicher hilft, die Genauigkeit der ARP-Bedrohungsbewertungen zu verbessern.

Melden Sie einen einmaligen Anstieg
  1. Wenn ein einmaliger Anstieg unter bekannten Umständen auftritt und Sie möchten, dass ARP in Zukunft einen ähnlichen Anstieg meldet, beheben Sie den Anstieg des Workload-Verhaltens:

    security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

Änderung des Basisliniensprunges
  1. Wenn eine gemeldete Überspannung als normales Anwendungsverhalten betrachtet werden sollte, melden Sie den Überspannungswert als solche, um den Überspannungswert der Basislinie zu ändern.

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

Konfigurieren von ARP-Warnungen

Ab ONTAP 9.14.1 ermöglicht ARP die Angabe von Warnungen für zwei ARP-Ereignisse:

  • Beobachtung der neuen Dateierweiterung auf einem Volume

  • Erstellen eines ARP-Snapshots

Warnmeldungen für diese beiden Ereignisse können für einzelne Volumes oder für die gesamte SVM festgelegt werden. Wenn Sie Alarme für die SVM aktivieren, werden die Meldungseinstellungen nur von Volumes übernommen, die nach dem Aktivieren der Warnmeldung erstellt wurden. Standardmäßig sind Warnmeldungen auf keinem Volume aktiviert.

Ereigniswarnungen können durch Verifizierung durch mehrere Administratoren gesteuert werden. Weitere Informationen finden Sie unter Verifizierung mehrerer Administratoren mit Volumes, die mit ARP gesichert sind.

System Manager
Festlegen von Warnmeldungen für ein Volume
  1. Navigieren Sie zu Volumen. Wählen Sie das einzelne Volume aus, für das Sie die Einstellungen ändern möchten.

  2. Wählen Sie die Registerkarte Sicherheit und dann Ereignissicherheitseinstellungen.

  3. Um Warnungen für Neue Dateierweiterung entdeckt und Ransomware Snapshot erstellt zu erhalten, wählen Sie das Dropdown-Menü unter der Überschrift Schweregrad. Ändern Sie die Einstellung von Ereignis nicht generieren in Hinweis.

  4. Wählen Sie Speichern.

Festlegen von Warnmeldungen für eine SVM
  1. Navigieren Sie zu Storage VM, und wählen Sie dann die SVM aus, für die Sie Einstellungen aktivieren möchten.

  2. Suchen Sie unter der Überschrift Sicherheit die Anti-Ransomware-Karte. Wählen Sie Symbol für Menüoptionen dann Ransomware-Ereignis-Schweregrad bearbeiten.

  3. Um Warnungen für Neue Dateierweiterung entdeckt und Ransomware Snapshot erstellt zu erhalten, wählen Sie das Dropdown-Menü unter der Überschrift Schweregrad. Ändern Sie die Einstellung von Ereignis nicht generieren in Hinweis.

  4. Wählen Sie Speichern.

CLI
Festlegen von Warnmeldungen für ein Volume
  • So legen Sie Warnungen für eine neue Dateierweiterung fest:

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • So legen Sie Warnungen für die Erstellung eines ARP-Snapshots fest:

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • Bestätigen Sie Ihre Einstellungen mit dem anti-ransomware volume event-log show Befehl.

Festlegen von Warnmeldungen für eine SVM
  • So legen Sie Warnungen für eine neue Dateierweiterung fest:

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • So legen Sie Warnungen für die Erstellung eines ARP-Snapshots fest:

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • Bestätigen Sie Ihre Einstellungen mit dem security anti-ransomware vserver event-log show Befehl.