Skip to main content
Cloud Insights
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Integración con la protección autónoma de ransomware de ONTAP

Colaboradores

La función de protección de ransomware autónoma de ONTAP (ARP) utiliza el análisis de cargas de trabajo en entornos NAS (NFS y SMB) para detectar de forma proactiva y advertir sobre una actividad anómala en el archivo que puede indicar un ataque de ransomware.

Se pueden encontrar más detalles y requisitos de licencia sobre ARP "aquí".

Workload Security se integra con ONTAP para recibir eventos ARP y proporcionar una capa de análisis adicional y respuestas automáticas.

Workload Security recibe los eventos ARP de ONTAP y realiza las siguientes acciones:

  1. Correlaciona los eventos de cifrado de volúmenes con la actividad de usuario para identificar quién está causando los daños.

  2. Implementa políticas de respuesta automática (si está definido)

  3. Proporciona capacidades forenses:

    • Permitir a los clientes realizar investigaciones de infracciones de datos.

    • Identificar los ficheros que se vieron afectados, lo que ayudó a recuperarse más rápidamente y llevar a cabo investigaciones de infracciones de datos.

Requisitos previos

  1. Versión mínima de ONTAP: 9.11.1

  2. Volúmenes con ARP habilitado. Se pueden encontrar detalles sobre la habilitación de ARP "aquí". ARP debe habilitarse mediante System Manager de OnCommand. La seguridad de carga de trabajo no puede habilitar ARP.

  3. Se debe agregar el recopilador de seguridad de carga de trabajo a través de la IP del clúster.

  4. Se necesitan credenciales para que esta función funcione. En otras palabras, se deben usar credenciales de nivel de clúster al añadir la SVM.

Se requieren permisos de usuario

Si utiliza credenciales de administración del clúster, no es necesario contar con permisos nuevos.

Si utiliza un usuario personalizado (por ejemplo, csuser) con permisos proporcionados al usuario, siga los pasos que se indican a continuación para otorgar permisos a Seguridad de carga de trabajo para recopilar información relacionada con ARP desde ONTAP.

Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos de ONTAP:

security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name>
security login rest-role create -api /api/security/anti-ransomware -access readonly  -role arwrole -vserver <cluster_name>
security login create -user-or-group-name csuser -application http -authmethod password -role arwrole

Lea más acerca de la configuración de otros "Permisos de ONTAP".

Alerta de muestra

A continuación se muestra una alerta de muestra generada debido a un evento ARP:

Sección superior de la alerta de ransomware
Sección superior de la alerta de ransomware
Sección superior de la alerta de ransomware

Un banner de gran confianza indica que el ataque ha mostrado el comportamiento de ransomware junto con actividades de cifrado de archivos. El gráfico de archivos cifrados indica la Marca de tiempo en la que la solución ARP ha detectado la actividad de cifrado de volúmenes.

Limitaciones

En caso de que una SVM no esté supervisada por Workload Security, pero hay eventos de ARP generados por ONTAP, los eventos serán recibidos y mostrados por Workload Security. Sin embargo, la información forense relacionada con la alerta, así como la asignación de usuarios, no se capturará ni se mostrará.

Resolución de problemas

Los problemas conocidos y sus resoluciones se describen en la siguiente tabla.

Problema: Resolución:

Las alertas por correo electrónico se reciben 24 horas después de que se detecta un ataque. En la interfaz de usuario de, las alertas se muestran 24 horas antes de que reciban los correos electrónicos con el servicio Seguridad de cargas de trabajo de Cloud Insights.

Cuando ONTAP envía el evento Ransomware Detected a Seguridad de carga de trabajo de Cloud Insights (por ejemplo, Seguridad de carga de trabajo), se envía el correo electrónico. El evento contiene una lista de ataques y sus marcas de tiempo. La interfaz de usuario de Workload Security muestra la Marca de tiempo de alerta del primer archivo atacado. ONTAP envía el evento Ransomware Detected a Cloud Insights cuando se codifican ciertos archivos. Por lo tanto, es posible que haya una diferencia entre la hora en que se muestra la alerta en la interfaz de usuario y la hora en la que se envía el correo electrónico.