Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Schützen Sie Ihre Daten mit NetApp Autonomous Ransomware Protection mit KI

Beitragende netapp-rlithman netapp-sineadd
Änderungen vorschlagen

Schützen Sie Ihre Daten mit NetApp Autonomous Ransomware Protection mit KI (ARP/AI). Es werden Aktivitäten in NAS (NFS/SMB) und SAN-Umgebungen überwacht, um ungewöhnliches Verhalten zu erkennen, das auf einen Ransomware-Angriff hindeuten könnte. Wenn eine Bedrohung erkannt wird, erstellt ARP/AI automatisch neue unveränderliche Snapshots, sodass Ihre Daten wiederhergestellt werden können.

Über diese Aufgabe

Verwenden Sie ARP/AI zum Schutz vor Denial-of-Service-Angriffen, bei denen der Angreifer Daten zurückhält, bis ein Lösegeld gezahlt wird. ARP/AI bietet Ransomware-Erkennung in Echtzeit basierend auf:

  • Identifizierung der eingehenden Daten als verschlüsselt oder als Klartext.

  • Analysen, die Folgendes erkennen:

    • Entropie: Eine Bewertung der Zufälligkeit von Daten in einer Datei (wird sowohl in NAS als auch in SAN Umgebungen verwendet)

    • Dateierweiterungstypen: Eine Erweiterung, die nicht dem normalen Erweiterungstyp entspricht (nur in NAS-Umgebungen verwendet)

    • Datei-IOPS: Ein Anstieg ungewöhnlicher Volumenaktivität mit Datenverschlüsselung (wird nur in NAS-Umgebungen verwendet)

ARP/AI kann die Ausbreitung der meisten Ransomware-Angriffe bereits nach der Verschlüsselung einer kleinen Anzahl von Dateien erkennen, automatisch Maßnahmen zum Schutz der Daten ergreifen und Sie warnen, wenn ein mutmaßlicher Angriff stattfindet.

Die ARP/AI-Funktion wird automatisch entsprechend der ONTAP -Version aktualisiert, die Amazon FSx for NetApp ONTAP ausführt, sodass Sie keine manuellen Updates durchführen müssen.

Lernen und aktive Modi

Das Verhalten von ARP/AI hängt vom Protokoll und vom Volume-Typ ab:

  • NAS Volumes (NFS/SMB): ARP/AI ist sofort nach der Aktivierung aktiv. Es nutzt ein vortrainiertes KI-Modell, um Ransomware-Bedrohungen umgehend zu erkennen.

  • SAN Volumes (ab ONTAP 9.17.1): ARP/AI bietet sofortigen Schutz, auch während der ersten Evaluierungsphase. Während dieses 2- bis 4-wöchigen Zeitraums lernt das System die normale Verschlüsselungsaktivität und legt Alarmschwellen fest. Gleichzeitig überwacht es weiterhin Ihre Daten, erkennt Bedrohungen und sendet Warnmeldungen.

  • Aktiver Modus: Wenn der aktive Modus aktiviert ist, erstellt FSx for ONTAP ARP/AI-Snapshots, um Ihre Daten zu schützen, wenn eine mögliche Bedrohung erkannt wird.

Wenn das System eine Dateierweiterung als ungewöhnlich kennzeichnet, sollte die Warnung überprüft werden. Auf die Warnung kann reagiert werden, um die Daten zu schützen, oder sie kann als Fehlalarm markiert werden, falls die Aktivität erwartet wird.

Wenn Sie eine Warnung als Fehlalarm markieren, aktualisiert das System seine Warnungseinstellungen. Wenn beispielsweise eine neue Dateierweiterung eine Warnung auslöst und Sie diese als Fehlalarm markieren, erhalten Sie beim nächsten Auftreten dieser Dateierweiterung keine Warnung.

Nicht unterstützte Konfigurationen

Die folgenden Konfigurationen unterstützen die Verwendung von ARP/AI nicht.

  • NVMe Volumes

  • iSCSI Volumes mit ONTAP Versionen vor 9.17.1

Aktivieren Sie ARP/AI für ein Dateisystem oder ein Volume

Durch die Aktivierung von ARP/AI für ein Dateisystem werden automatisch alle aktuellen und neuen NAS Volumes (NFS/SMB) geschützt. Ab ONTAP 9.17.1 werden auch SAN Volumes (iSCSI) unterstützt. ARP/AI kann auch für bestimmte Volumes aktiviert werden.

Wenn ARP/AI nach der Aktivierung einen tatsächlichen Angriff erkennt, erstellt Workload Factory automatisch eine Snapshot-Richtlinie. Diese Richtlinie kann bis zu sechs Snapshots alle vier Stunden erstellen. Jeder Snapshot ist für 2-5 Tage gesperrt.

Bevor Sie beginnen

Um ARP/AI für ein Dateisystem oder ein Volume zu aktivieren, müssen Sie einen Link zuordnen. "Erfahren Sie, wie Sie einen vorhandenen Link zuordnen oder einen neuen Link erstellen und zuordnen." . Kehren Sie nach der Verknüpfung zu diesem Vorgang zurück.

Aktivieren Sie ARP/AI für ein Dateisystem
Schritte
  1. Melden Sie sich mit einem der "Konsolenerfahrungen"an.

  2. Wählen Sie das Menü aus Über das Hamburger-Menüsymbol kann man zu Workloads wie Speicher, EDA, KI, Datenbanken, VMware und Administration navigieren. und wählen Sie dann Speicher aus.

  3. Wählen Sie im Speichermenü FSx für ONTAP aus.

  4. Wählen Sie in FSx for ONTAP das Aktionsmenü des Dateisystems aus, um ARP/AI zu aktivieren, und wählen Sie dann Verwalten.

  5. Wählen Sie unter „Informationen“ das Stiftsymbol neben „Autonomer Ransomware-Schutz“ aus. Das Stiftsymbol wird neben dem Pfeil angezeigt, wenn Sie mit der Maus über die Zeile Autonomous Ransomware Protection fahren.

  6. Führen Sie auf der Seite „NetApp Autonomous Ransomware Protection with AI (ARP/AI)“ die folgenden Schritte aus:

    1. Aktivieren oder deaktivieren Sie die Funktion.

    2. Automatische Snapshot-Erstellung: Wählen Sie die maximale Anzahl der aufzubewahrenden Snapshots und das Zeitintervall zwischen der Erstellung der Snapshots. Der Standardwert beträgt 6 Snapshots alle 4 Stunden.

    3. Unveränderliche Snapshots: Wählen Sie die Standardaufbewahrungsdauer in Stunden und die maximale Anzahl von Tagen für die Aufbewahrung unveränderlicher Snapshots. Aktivieren Sie diese Option, um sicherzustellen, dass Snapshots erst gelöscht oder geändert werden können, wenn der angegebene Aufbewahrungszeitraum abgelaufen ist.

    4. Erkennung: Wählen Sie optional einen der folgenden Parameter aus, um automatisch zu scannen und Anomalien zu erkennen.

  7. Akzeptieren Sie die Aussage, um fortzufahren.

  8. Wählen Sie Übernehmen, um die Änderungen zu speichern.

ARP/AI für ein Volume aktivieren
Schritte
  1. Melden Sie sich mit einem der "Konsolenerfahrungen"an.

  2. Wählen Sie das Menü aus Über das Hamburger-Menüsymbol kann man zu Workloads wie Speicher, EDA, KI, Datenbanken, VMware und Administration navigieren. und wählen Sie dann Speicher aus.

  3. Wählen Sie im Speichermenü FSx für ONTAP aus.

  4. Wählen Sie in FSx for ONTAP das Aktionsmenü des Dateisystems aus, um ARP/AI zu aktivieren, und wählen Sie dann Verwalten.

  5. Wählen Sie auf der Registerkarte „Volumes“ das Aktionsmenü des Volumes aus, um ARP/AI zu aktivieren, dann Datenschutzaktionen und dann ARP/AI verwalten.

  6. Führen Sie im Dialogfeld „ARP/AI verwalten“ die folgenden Schritte aus:

    1. Aktivieren oder deaktivieren Sie die Funktion.

    2. Erkennung: Wählen Sie optional einen der folgenden Parameter aus, um automatisch zu scannen und Anomalien zu erkennen.

  7. Akzeptieren Sie die Aussage, um fortzufahren.

  8. Wählen Sie Übernehmen, um die Änderungen zu speichern.

Ransomware-Angriffe validieren

Ermitteln Sie, ob ein Angriff ein falscher Alarm oder ein echter Ransomware-Vorfall ist.

Schritte
  1. Melden Sie sich mit einem der "Konsolenerfahrungen"an.

  2. Wählen Sie das Menü aus Über das Hamburger-Menüsymbol kann man zu Workloads wie Speicher, EDA, KI, Datenbanken, VMware und Administration navigieren. und wählen Sie dann Speicher aus.

  3. Wählen Sie im Speichermenü FSx für ONTAP aus.

  4. Wählen Sie unter FSx for ONTAP das Dateisystem aus, für das Ransomware-Angriffe validiert werden sollen.

  5. Wählen Sie in der Dateisystemübersicht die Registerkarte Volumes aus.

  6. Wählen Sie aus der Kachel Autonomous Ransomware Protection Analyze Attacks aus.

  7. Laden Sie den Bericht über Angriffsereignisse herunter, um zu überprüfen, ob Dateien oder Ordner kompromittiert wurden, und entscheiden Sie dann, ob ein Angriff stattgefunden hat.

  8. Wenn kein Angriff stattgefunden hat, wählen Sie False Alarm für die Lautstärke in der Tabelle und wählen Sie dann Schließen

  9. Wenn ein Angriff stattgefunden hat, wählen Sie Real Attack für das Volumen in der Tabelle. Das Dialogfeld „kompromittierte Volume-Daten wiederherstellen“ wird geöffnet. Sie können sofort mit fortfahren Stellen Sie Ihre Daten wieder heroder Schließen auswählen und später den Wiederherstellungsprozess abschließen.

Wiederherstellung von Daten nach einem Ransomware-Angriff

Wenn das System einen möglichen Angriff erkennt, erstellt und sperrt es eine Momentaufnahme des Volumes zu diesem Zeitpunkt.

Falls der Angriff später bestätigt wird, können Sie die betroffenen Dateien oder das gesamte Volume aus dem Snapshot wiederherstellen.

Gesperrte Snapshots können erst nach Ablauf der Aufbewahrungsfrist gelöscht werden. Wenn sich der Angriff später als Fehlalarm herausstellt, wird der gesperrte Snapshot gelöscht.

Da das System die betroffenen Dateien und den Zeitpunkt des Angriffs identifiziert, ist es möglich, nur die betroffenen Dateien aus verfügbaren Snapshots wiederherzustellen, anstatt das gesamte Volume wiederherzustellen.

Schritte
  1. Melden Sie sich mit einem der "Konsolenerfahrungen"an.

  2. Wählen Sie das Menü aus Über das Hamburger-Menüsymbol kann man zu Workloads wie Speicher, EDA, KI, Datenbanken, VMware und Administration navigieren. und wählen Sie dann Speicher aus.

  3. Wählen Sie im Speichermenü FSx für ONTAP aus.

  4. Wählen Sie unter FSx for ONTAP das Dateisystem aus, für das Daten wiederhergestellt werden sollen.

  5. Wählen Sie in der Dateisystemübersicht die Registerkarte Volumes aus.

  6. Wählen Sie aus der Kachel Autonomous Ransomware Protection Analyze Attacks aus.

  7. Wenn ein Angriff stattgefunden hat, wählen Sie Real Attack für das Volumen in der Tabelle.

  8. Befolgen Sie im Dialogfeld „kompromittierte Volume-Daten wiederherstellen“ die Anweisungen zur Wiederherstellung auf Datei- oder Volume-Ebene. In den meisten Fällen stellen Sie Dateien statt eines gesamten Volumes wieder her.

  9. Nachdem Sie die Wiederherstellung abgeschlossen haben, wählen Sie Schließen.

Ergebnis

Die kompromittierten Daten wurden wiederhergestellt.