Schützen Sie Ihre Daten mit NetApp Autonomous Ransomware Protection mit KI
Schützen Sie Ihre Daten mit NetApp Autonomous Ransomware Protection mit KI (ARP/AI), einer Funktion, die Workload-Analysen in NAS-Umgebungen (NFS/SMB) nutzt, um ungewöhnliche Aktivitäten zu erkennen und davor zu warnen, die auf einen Ransomware-Angriff hindeuten könnten. Bei Verdacht auf einen Angriff erstellt ARP/AI außerdem neue, unveränderliche Snapshots, aus denen Sie Ihre Daten wiederherstellen können.
Verwenden Sie ARP/AI zum Schutz vor Denial-of-Service-Angriffen, bei denen der Angreifer Daten zurückhält, bis ein Lösegeld gezahlt wird. ARP/AI bietet Ransomware-Erkennung in Echtzeit basierend auf:
-
Identifizierung der eingehenden Daten als verschlüsselt oder als Klartext.
-
Analysen, die Folgendes erkennen:
-
Entropie: Eine Auswertung der Zufälligkeit der Daten in einer Datei
-
Dateierweiterungstypen: Eine Erweiterung, die nicht dem normalen Erweiterungstyp entspricht
-
Datei-IOPS: Ein Anstieg der anormalen Volume-Aktivität mit Datenverschlüsselung
-
ARP/AI kann die Ausbreitung der meisten Ransomware-Angriffe bereits nach der Verschlüsselung einer kleinen Anzahl von Dateien erkennen, automatisch Maßnahmen zum Schutz der Daten ergreifen und Sie warnen, wenn ein mutmaßlicher Angriff stattfindet.
Die ARP/AI-Funktion wird automatisch entsprechend der ONTAP -Version aktualisiert, die Amazon FSx for NetApp ONTAP ausführt, sodass Sie keine manuellen Updates durchführen müssen.
- Lernen und aktive Modi
-
ARP/AI arbeitet zunächst im Lernmodus und wechselt dann automatisch in den aktiven Modus.
-
Lernmodus: Wenn Sie ARP/AI aktivieren, läuft es im Lernmodus. Im Lernmodus entwickelt das FSx for ONTAP -Dateisystem ein Warnprofil basierend auf den Analysebereichen: Entropie, Dateierweiterungstypen und Datei-IOPS. Nachdem das Dateisystem ARP/AI lange genug im Lernmodus ausgeführt hat, um die Workload-Eigenschaften zu beurteilen, wechselt die Workload Factory automatisch zu ARP/AI in den aktiven Modus und beginnt mit dem Schutz Ihrer Daten.
-
Aktivmodus: Nachdem ARP/AI in den aktiven Modus gewechselt ist, erstellt FSx for ONTAP ARP/AI-Snapshots, um die Daten zu schützen, falls eine Bedrohung erkannt wird.
Wenn im aktiven Modus eine Dateierweiterung als anormal gekennzeichnet ist, sollten Sie die Warnmeldung auswerten. Sie können auf die Warnung reagieren, um Ihre Daten zu schützen, oder Sie können die Warnung als falsch positiv markieren. Wenn Sie eine Warnung als falsch positiv markieren, wird das Warnungsprofil aktualisiert. Wenn die Warnmeldung beispielsweise durch eine neue Dateierweiterung ausgelöst wird und Sie die Warnmeldung als falsch positiv markieren, erhalten Sie beim nächsten Mal keine Warnmeldung, wenn diese Dateierweiterung beobachtet wird.
-
- Nicht unterstützte Konfigurationen
-
Die folgenden Konfigurationen unterstützen die Verwendung von ARP/AI nicht.
-
SAN/Block-Volumes
-
ISCSI-Volumes
-
NVMe Volumes
-
Aktivieren Sie ARP/AI für ein Dateisystem oder ein Volume
Durch die Aktivierung von ARP/AI für ein Dateisystem wird automatisch Schutz für alle vorhandenen NAS- und neu erstellten NAS-Volumes (NFS/SMB) hinzugefügt. Sie können ARP/AI auch für einzelne Volumes aktivieren.
Wenn nach der Aktivierung von ARP/AI ein Angriff erfolgt und Sie feststellen, dass es sich um einen echten Angriff handelt, richtet Workload Factory automatisch eine Snapshot-Richtlinie ein, die alle vier Stunden bis zu sechs Snapshots erstellt. Jeder Snapshot ist 2–5 Tage lang gesperrt.
Um ARP/AI für ein Dateisystem oder ein Volume zu aktivieren, müssen Sie einen Link zuordnen. "Erfahren Sie, wie Sie einen vorhandenen Link zuordnen oder einen neuen Link erstellen und zuordnen." . Kehren Sie nach der Verknüpfung zu diesem Vorgang zurück.
-
Melden Sie sich mit einem der "Konsolenerfahrungen"an.
-
Wählen Sie unter Speicher die Option Gehe zu Lagerbestandsbestand aus.
-
Wählen Sie auf der Registerkarte FSx for ONTAP das Drei-Punkte-Menü des Dateisystems aus, um ARP/AI zu aktivieren, und wählen Sie dann Verwalten.
-
Wählen Sie unter „Informationen“ das Stiftsymbol neben „Autonomer Ransomware-Schutz“ aus. Das Stiftsymbol wird neben dem Pfeil angezeigt, wenn Sie mit der Maus über die Zeile Autonomous Ransomware Protection fahren.
-
Führen Sie auf der Seite „NetApp Autonomous Ransomware Protection with AI (ARP/AI)“ die folgenden Schritte aus:
-
Aktivieren oder deaktivieren Sie die Funktion.
-
Automatische Snapshot-Erstellung: Wählen Sie die maximale Anzahl der aufzubewahrenden Snapshots und das Zeitintervall zwischen der Erstellung der Snapshots. Der Standardwert beträgt 6 Snapshots alle 4 Stunden.
-
Unveränderliche Snapshots: Wählen Sie die Standardaufbewahrungsdauer in Stunden und die maximale Anzahl von Tagen für die Aufbewahrung unveränderlicher Snapshots. Aktivieren Sie diese Option, um sicherzustellen, dass Snapshots erst gelöscht oder geändert werden können, wenn der angegebene Aufbewahrungszeitraum abgelaufen ist.
-
Erkennung: Wählen Sie optional einen der folgenden Parameter aus, um automatisch zu scannen und Anomalien zu erkennen.
-
-
Akzeptieren Sie die Aussage, um fortzufahren.
-
Wählen Sie Übernehmen, um die Änderungen zu speichern.
-
Melden Sie sich mit einem der "Konsolenerfahrungen"an.
-
Wählen Sie unter Speicher die Option Gehe zu Lagerbestandsbestand aus.
-
Wählen Sie auf der Registerkarte FSx for ONTAP das Drei-Punkte-Menü des Dateisystems aus, um ARP/AI zu aktivieren, und wählen Sie dann Verwalten.
-
Wählen Sie auf der Registerkarte „Volumes“ das Drei-Punkte-Menü des Volumes aus, um ARP/AI zu aktivieren, dann Datenschutzaktionen und dann ARP/AI verwalten.
-
Führen Sie im Dialogfeld „ARP/AI verwalten“ die folgenden Schritte aus:
-
Aktivieren oder deaktivieren Sie die Funktion.
-
Erkennung: Wählen Sie optional einen der folgenden Parameter aus, um automatisch zu scannen und Anomalien zu erkennen.
-
-
Akzeptieren Sie die Aussage, um fortzufahren.
-
Wählen Sie Übernehmen, um die Änderungen zu speichern.
Ransomware-Angriffe validieren
Ermitteln Sie, ob ein Angriff ein falscher Alarm oder ein echter Ransomware-Vorfall ist.
-
Melden Sie sich mit einem der "Konsolenerfahrungen"an.
-
Wählen Sie unter Speicher die Option Gehe zu Lagerbestandsbestand aus.
-
Wählen Sie in der Dateisystemübersicht die Registerkarte Volumes aus.
-
Wählen Sie aus der Kachel Autonomous Ransomware Protection Analyze Attacks aus.
-
Laden Sie den Bericht über Angriffsereignisse herunter, um zu überprüfen, ob Dateien oder Ordner kompromittiert wurden, und entscheiden Sie dann, ob ein Angriff stattgefunden hat.
-
Wenn kein Angriff stattgefunden hat, wählen Sie False Alarm für die Lautstärke in der Tabelle und wählen Sie dann Schließen
-
Wenn ein Angriff stattgefunden hat, wählen Sie Real Attack für das Volumen in der Tabelle. Das Dialogfeld „kompromittierte Volume-Daten wiederherstellen“ wird geöffnet. Sie können sofort mit fortfahren Stellen Sie Ihre Daten wieder heroder Schließen auswählen und später den Wiederherstellungsprozess abschließen.
Wiederherstellung von Daten nach einem Ransomware-Angriff
Wenn ein Angriff vermutet wird, erstellt das System zu diesem Zeitpunkt einen Volume-Snapshot und sperrt diese Kopie. Sollte sich der Angriff später bestätigen, können die betroffenen Dateien oder das gesamte Volume mithilfe des ARP/AI-Snapshots wiederhergestellt werden.
Gesperrte Snapshots können erst gelöscht werden, wenn die Aufbewahrungsfrist endet. Wenn Sie sich jedoch später entscheiden, den Angriff als falsch positiv zu markieren, wird die gesperrte Kopie gelöscht.
Mit dem Wissen über die betroffenen Dateien und dem Zeitpunkt des Angriffs ist es möglich, die betroffenen Dateien selektiv aus verschiedenen Snapshots wiederherzustellen, anstatt das gesamte Volume einfach auf einen der Snapshots zurückzugreifen.
-
Melden Sie sich mit einem der "Konsolenerfahrungen"an.
-
Wählen Sie unter Speicher die Option Gehe zu Lagerbestandsbestand aus.
-
Wählen Sie in der Dateisystemübersicht die Registerkarte Volumes aus.
-
Wählen Sie aus der Kachel Autonomous Ransomware Protection Analyze Attacks aus.
-
Wenn ein Angriff stattgefunden hat, wählen Sie Real Attack für das Volumen in der Tabelle.
-
Befolgen Sie im Dialogfeld „kompromittierte Volume-Daten wiederherstellen“ die Anweisungen zur Wiederherstellung auf Datei- oder Volume-Ebene. In den meisten Fällen stellen Sie Dateien statt eines gesamten Volumes wieder her.
-
Nachdem Sie die Wiederherstellung abgeschlossen haben, wählen Sie Schließen.
Die kompromittierten Daten wurden wiederhergestellt.