Integración con ONTAP Autonomous Ransomware Protection
Sugerir cambios
PDF
La función de protección autónoma contra ransomware (ARP) de ONTAP utiliza análisis de carga de trabajo en entornos NAS (NFS y SMB) para detectar y advertir de forma proactiva sobre actividad anormal en archivos que podría indicar un ataque de ransomware.
Se pueden encontrar detalles adicionales y requisitos de licencia sobre ARP"aquí" .
Workload Security se integra con ONTAP para recibir eventos ARP y proporcionar una capa adicional de análisis y respuestas automáticas.
Workload Security recibe los eventos ARP de ONTAP y realiza las siguientes acciones:
-
Correlaciona eventos de cifrado de volumen con la actividad del usuario para identificar quién está causando el daño.
-
Implementa políticas de respuesta automática (si están definidas)
-
Proporciona capacidades forenses:
-
Permitir a los clientes realizar investigaciones sobre violaciones de datos.
-
Identifique qué archivos se vieron afectados, lo que ayuda a recuperarse más rápido y realizar investigaciones sobre violaciones de datos.
-
Prerrequisitos
-
Versión mínima de ONTAP : 9.11.1
-
Volúmenes habilitados para ARP. Los detalles sobre cómo habilitar ARP se pueden encontrar"aquí" . ARP debe habilitarse a través de OnCommand System Manager. La seguridad de la carga de trabajo no puede habilitar ARP.
-
El recopilador de seguridad de carga de trabajo debe agregarse a través de la IP del clúster.
-
Se necesitan credenciales de nivel de clúster para que esta característica funcione. En otras palabras, se deben utilizar credenciales de nivel de clúster al agregar la SVM.
Se requieren permisos de usuario
Si está utilizando credenciales de administración del clúster, no se necesitan permisos nuevos.
Si está utilizando un usuario personalizado (por ejemplo, csuser) con permisos otorgados al usuario, siga los pasos a continuación para otorgar permisos a Workload Security para recopilar información relacionada con ARP de ONTAP.
Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comando de ONTAP :
security login role create -role csrole -cmddirname "volume" -access readonly security login role create -role csrole -cmddirname "security anti-ransomware volume" -access readonly
Lea más sobre cómo configurar otros"Permisos de ONTAP" .
Alerta de muestra
A continuación se muestra un ejemplo de alerta generada debido a un evento ARP:
Un banner de alta confianza indica que el ataque ha mostrado un comportamiento de ransomware junto con actividades de cifrado de archivos. El gráfico de archivos cifrados indica la marca de tiempo en la que la solución ARP detectó la actividad de cifrado de volumen.
Limitaciones
En el caso en que Workload Security no monitorea un SVM, pero hay eventos ARP generados por ONTAP, Workload Security aún recibirá y mostrará los eventos. Sin embargo, la información forense relacionada con la alerta, así como el mapeo del usuario, no se capturarán ni se mostrarán.
Solución de problemas
Los problemas conocidos y sus resoluciones se describen en la siguiente tabla.
| Problema: | Resolución: |
|---|---|
Las alertas por correo electrónico se reciben 24 horas después de que se detecta un ataque. En la interfaz de usuario, las alertas se muestran 24 horas antes de que Data Infrastructure Insights Workload Security reciba los correos electrónicos. |
Cuando ONTAP envía el evento Ransomware detectado a Data Infrastructure Insights Workload Security (es decir, Workload Security), se envía el correo electrónico. El evento contiene una lista de ataques y sus marcas de tiempo. La interfaz de usuario de seguridad de carga de trabajo muestra la marca de tiempo de alerta del primer archivo atacado. ONTAP envía el evento Ransomware detectado a Data Infrastructure Insights cuando se codifica una determinada cantidad de archivos. Por lo tanto, puede haber una diferencia entre el momento en que se muestra la alerta en la interfaz de usuario y el momento en que se envía el correo electrónico. |