Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Managen Sie die Parameter für die Erkennung von Angriffen vor ONTAP Autonomous Ransomware Protection

08/04/2025 Beitragende

PDFs

Ab ONTAP 9.11.1 können Sie die Parameter für die Ransomware-Erkennung auf einem bestimmten Volume mit aktiviertem Autonomous Ransomware Protection ändern und einen bekannten Anstieg als normale Dateiaktivität melden. Durch die Anpassung der Erkennungsparameter wird die Genauigkeit der Berichterstellung auf der Grundlage Ihrer spezifischen Volumenbelastung verbessert.

Wie die Angriffserkennung funktioniert

Wenn sich Autonomous Ransomware Protection (ARP) im Lern- oder Evaluierungsmodus befindet, entwickelt es Basiswerte für das Volume-Verhalten. Dazu gehören Entropie, Dateierweiterungen und ab ONTAP 9.11.1 auch IOPS. Diese Basiswerte dienen zur Bewertung von Ransomware-Bedrohungen. Weitere Informationen zu diesen Kriterien finden Sie unter "Was ARP erkennt" .

Bestimmte Volumes und Workloads erfordern unterschiedliche Erkennungsparameter. Zum Beispiel kann Ihr ARP-fähiges Volume zahlreiche Arten von Dateierweiterungen hosten. In diesem Fall möchten Sie die Schwellenwertanzahl für nie zuvor gesehene Dateierweiterungen auf eine Zahl ändern, die größer ist als die Standardeinstellung von 20 oder Warnungen deaktivieren, die auf nie zuvor gesehenen Dateierweiterungen basieren. Ab ONTAP 9.11.1 können Sie die Parameter zur Angriffserkennung anpassen, um sie besser auf Ihre spezifischen Workloads anzupassen.

Ab ONTAP 9.14.1 können Sie Alarme konfigurieren, wenn ARP eine neue Dateierweiterung beobachtet und wenn ARP einen Snapshot erstellt. Weitere Informationen finden Sie unter [modify-alerts].

Angriffserkennung in NAS-Umgebungen

In ONTAP 9.10.1 gibt ARP eine Warnung aus, wenn beide der folgenden Bedingungen erkannt werden:

Mehr als 20 Dateien mit Dateierweiterungen, die bisher nicht im Volume beobachtet wurden
Hohe Entropie-Daten

Ab ONTAP 9.11.1 gibt ARP eine Bedrohungswarnung aus, wenn only eine Bedingung erfüllt ist. Wenn beispielsweise mehr als 20 Dateien mit Dateierweiterungen, die zuvor nicht im Volume beobachtet wurden, innerhalb eines Zeitraums von 24 Stunden beobachtet werden, kategorisiert ARP diese Datei als Bedrohung unabhängig der beobachteten Entropie. Die 24-Stunden- und 20-Dateiwerte sind Standardwerte, die geändert werden können.

Um die Anzahl falscher Alarme zu reduzieren, gehen Sie zu Speicher > Volumes > Sicherheit > Workload-Eigenschaften konfigurieren und deaktivieren Sie Neue Dateitypen überwachen. Diese Einstellung ist in ONTAP 9.14.1 P7, 9.15.1 P1, 9.16.1 und höher standardmäßig deaktiviert.

Angriffserkennung in SAN-Umgebungen

Ab ONTAP 9.17.1 gibt ARP eine Warnung aus, wenn es hohe Verschlüsselungsraten erkennt, die einen automatisch ermittelten Schwellenwert überschreiten. Dieser Schwellenwert wird nach einem "Evaluierungszeitraum" kann aber geändert werden.

Parameter für die Angriffserkennung ändern

Abhängig vom erwarteten Verhalten Ihres ARP-fähigen Volumes möchten Sie möglicherweise die Parameter zur Angriffserkennung ändern.

Schritte

Anzeigen der vorhandenen Angriffserkennungsparameter:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
           Block Device Auto Learned Encryption Threshold : 10
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

Alle angezeigten Felder können mit Booleschen oder ganzzahligen Werten geändert werden. Um ein Feld zu ändern, verwenden Sie die security anti-ransomware volume attack-detection-parameters modify Befehl.

Erfahren Sie mehr über security anti-ransomware volume attack-detection-parameters modify in der "ONTAP-Befehlsreferenz".

Bekannte Überspannungen melden

ARP ändert weiterhin Basiswerte für Erkennungsparameter, auch wenn diese aktiv sind. Wenn Sie von Überspannungen in Ihrer Volumenaktivität, entweder einmaligen Überspannungen oder einem Anstieg, der für eine neue Normalität charakteristisch ist, wissen, sollten Sie diese als sicher melden. Die manuelle Meldung dieser Überspannungen als sicher hilft, die Genauigkeit der ARP-Bedrohungsbewertungen zu verbessern.

Melden Sie einen einmaligen Anstieg

Wenn ein einmaliger Anstieg unter bekannten Umständen auftritt und Sie möchten, dass ARP in Zukunft einen ähnlichen Anstieg meldet, beheben Sie den Anstieg des Workload-Verhaltens:

security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

Erfahren Sie mehr über security anti-ransomware volume workload-behavior clear-surge in der "ONTAP-Befehlsreferenz".

Änderung des Basisliniensprunges

Wenn eine gemeldete Überspannung als normales Anwendungsverhalten betrachtet werden sollte, melden Sie den Überspannungswert als solche, um den Überspannungswert der Basislinie zu ändern.

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

Erfahren Sie mehr über security anti-ransomware volume workload-behavior update-baseline-from-surge im "ONTAP-Befehlsreferenz" .

Konfigurieren von ARP-Warnungen

Ab ONTAP 9.14.1 ermöglicht ARP die Angabe von Warnungen für zwei ARP-Ereignisse:

Beobachtung der neuen Dateierweiterung auf einem Volume
Erstellen eines ARP-Snapshots

Warnmeldungen für diese beiden Ereignisse können für einzelne Volumes oder für die gesamte SVM festgelegt werden. Wenn Sie Alarme für die SVM aktivieren, werden die Meldungseinstellungen nur von Volumes übernommen, die nach dem Aktivieren der Warnmeldung erstellt wurden. Standardmäßig sind Warnmeldungen auf keinem Volume aktiviert.

Ereigniswarnungen können mit der Multi-Admin-Verifizierung gesteuert werden. Weitere Informationen finden Sie unter "Verifizierung mehrerer Administratoren mit Volumes, die mit ARP gesichert sind" .

Schritte

Sie können System Manager oder die ONTAP CLI verwenden, um Warnungen für ARP-Ereignisse festzulegen.

System Manager

Festlegen von Warnmeldungen für ein Volume

Navigieren Sie zu Volumes. Wählen Sie das einzelne Volume aus, für das Sie die Einstellungen ändern möchten.
Wählen Sie die Registerkarte Sicherheit und dann Einstellungen für den Ereignisschweregrad.
Um Benachrichtigungen für Neue Dateierweiterung erkannt und Ransomware-Snapshot erstellt zu erhalten, wählen Sie das Dropdown-Menü unter der Überschrift Schweregrad. Ändern Sie die Einstellung von Kein Ereignis generieren in Hinweis.
Wählen Sie Speichern.

Festlegen von Warnmeldungen für eine SVM

Navigieren Sie zu Storage VM und wählen Sie dann die SVM aus, für die Sie Einstellungen aktivieren möchten.
Suchen Sie unter der Überschrift Sicherheit die Karte Anti-Ransomware. Wählen Sie dann Schweregrad des Ransomware-Ereignisses bearbeiten.
Um Benachrichtigungen für Neue Dateierweiterung erkannt und Ransomware-Snapshot erstellt zu erhalten, wählen Sie das Dropdown-Menü unter der Überschrift Schweregrad. Ändern Sie die Einstellung von Kein Ereignis generieren in Hinweis.
Wählen Sie Speichern.

CLI