Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Managen Sie die Parameter für die Erkennung von Angriffen gegen autonomen Ransomware-Schutz

Beitragende
PDFs

Ab ONTAP 9.11.1 können Sie die Parameter für die Ransomware-Erkennung auf einem bestimmten Volume mit aktiviertem Autonomem Ransomware-Schutz ändern und einen bekannten Anstieg als normale Dateiaktivität melden. Durch die Anpassung der Erkennungsparameter wird die Genauigkeit der Berichterstellung auf der Grundlage Ihrer spezifischen Volumenbelastung verbessert.

Wie die Angriffserkennung funktioniert

Wenn sich der Autonomous Ransomware Protection (ARP) im Lernmodus befindet, werden Grundwerte für das Volume-Verhalten entwickelt. Es handelt sich um Entropie, Dateiendungen und – seit ONTAP 9.11.1 – IOPS. Diese Baselines dienen zur Bewertung von Ransomware-Bedrohungen. Weitere Informationen zu diesen Kriterien finden Sie unter Was ARP erkennt.

In ONTAP 9.10.1 gibt ARP eine Warnung aus, wenn beide der folgenden Bedingungen erkannt werden:

  • Mehr als 20 Dateien mit Dateierweiterungen, die bisher nicht im Volume beobachtet wurden

  • Hohe Entropie-Daten

Ab ONTAP 9.11.1 gibt ARP eine Bedrohungswarnung aus, wenn only eine Bedingung erfüllt ist. Wenn beispielsweise mehr als 20 Dateien mit Dateierweiterungen, die zuvor nicht im Volume beobachtet wurden, innerhalb eines Zeitraums von 24 Stunden beobachtet werden, kategorisiert ARP diese Datei als Bedrohung unabhängig der beobachteten Entropie. (Die Dateiwerte 24 Stunden und 20 Stunden sind Standardwerte, die geändert werden können.)

Ab ONTAP 9.14.1 können Sie Alarme konfigurieren, wenn ARP eine neue Dateierweiterung beobachtet, und wenn ARP einen Snapshot erstellt. Weitere Informationen finden Sie unter [modify-alerts]

Bestimmte Volumes und Workloads erfordern unterschiedliche Erkennungsparameter. Zum Beispiel kann Ihr ARP-fähiges Volume zahlreiche Arten von Dateierweiterungen hosten. In diesem Fall möchten Sie die Schwellenwertanzahl für nie zuvor gesehene Dateierweiterungen auf eine Zahl ändern, die größer ist als die Standardeinstellung von 20 oder Warnungen deaktivieren, die auf nie zuvor gesehenen Dateierweiterungen basieren. Ab ONTAP 9.11.1 können Sie die Parameter zur Angriffserkennung anpassen, um sie besser auf Ihre spezifischen Workloads anzupassen.

Parameter für die Angriffserkennung ändern

Je nach erwartetem Verhalten des ARP-aktivierten Volumens können Sie die Angriffserkennungsparameter ändern.

Schritte

  1. Anzeigen der vorhandenen Angriffserkennungsparameter:

    security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name

    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

  2. Alle angezeigten Felder können mit booleschen oder ganzzahligen Werten geändert werden. Um ein Feld zu ändern, verwenden Sie die security anti-ransomware volume attack-detection-parameters modify Befehl.

    Eine vollständige Liste der Parameter finden Sie unter "Befehlsreferenz für ONTAP".

Bekannte Überspannungen melden

ARP ändert auch im aktiven Modus weiterhin Basiswerte für Erkennungsparameter. Wenn Sie von Überspannungen in Ihrer Volumenaktivität wissen - entweder einmal Überspannungen oder eine Überspannung, die für eine neue Normalität charakteristisch ist - sollten Sie sie als sicher melden. Die manuelle Meldung dieser Überspannungen als sicher hilft, die Genauigkeit der ARP-Bedrohungsbewertungen zu verbessern.

Melden Sie eine einmalige Überspannung

  1. Wenn ein einmaliger Anstieg unter bekannten Umständen auftritt und Sie möchten, dass ARP in Zukunft einen ähnlichen Anstieg meldet, beheben Sie den Anstieg des Workload-Verhaltens:

    security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name

Änderung des Basisliniensprunges

  1. Wenn eine gemeldete Überspannung als normales Anwendungsverhalten betrachtet werden sollte, melden Sie den Überspannungswert als solche, um den Überspannungswert der Basislinie zu ändern.

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name

Konfigurieren von ARP-Warnungen

Ab ONTAP 9.14.1 ermöglicht ARP die Angabe von Warnungen für zwei ARP-Ereignisse:

  • Beobachtung der neuen Dateierweiterung auf einem Volume

  • Erstellung eines ARP-Snapshots

Warnmeldungen für diese beiden Ereignisse können für einzelne Volumes oder für die gesamte SVM festgelegt werden. Wenn Sie Alarme für die SVM aktivieren, werden die Meldungseinstellungen nur von Volumes übernommen, die nach dem Aktivieren der Warnmeldung erstellt wurden. Standardmäßig sind Warnmeldungen auf keinem Volume aktiviert.

Ereigniswarnungen können durch Verifizierung durch mehrere Administratoren gesteuert werden. Weitere Informationen finden Sie unter Verifizierung mehrerer Administratoren mit Volumes, die mit ARP gesichert sind.

System Manager
Festlegen von Warnmeldungen für ein Volume

  1. Navigieren Sie zu Volumen. Wählen Sie das einzelne Volume aus, für das Sie die Einstellungen ändern möchten.

  2. Wählen Sie die Registerkarte Sicherheit und dann Ereignissicherheitseinstellungen.

  3. Um Warnungen für Neue Dateierweiterung entdeckt und Ransomware Snapshot erstellt zu erhalten, wählen Sie das Dropdown-Menü unter der Überschrift Schweregrad. Ändern Sie die Einstellung von Ereignis nicht generieren in Hinweis.

  4. Wählen Sie Speichern.

Festlegen von Warnmeldungen für eine SVM

  1. Navigieren Sie zu Storage VM, und wählen Sie dann die SVM aus, für die Sie Einstellungen aktivieren möchten.

  2. Suchen Sie unter der Überschrift Sicherheit die Anti-Ransomware-Karte. Wählen Sie Drei Punkte Dann Ransomware-Ereignis-Schweregrad bearbeiten.

  3. Um Warnungen für Neue Dateierweiterung entdeckt und Ransomware Snapshot erstellt zu erhalten, wählen Sie das Dropdown-Menü unter der Überschrift Schweregrad. Ändern Sie die Einstellung von Ereignis nicht generieren in Hinweis.

  4. Wählen Sie Speichern.

CLI
Festlegen von Warnmeldungen für ein Volume

  • So legen Sie Warnungen für eine neue Dateierweiterung fest:

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • So legen Sie Warnungen für die Erstellung eines ARP-Snapshots fest:

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • Bestätigen Sie Ihre Einstellungen mit dem anti-ransomware volume event-log show Befehl.

Festlegen von Warnmeldungen für eine SVM

  • So legen Sie Warnungen für eine neue Dateierweiterung fest:

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • So legen Sie Warnungen für die Erstellung eines ARP-Snapshots fest:

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • Bestätigen Sie Ihre Einstellungen mit dem security anti-ransomware vserver event-log show Befehl.

Weitere Informationen