Integración con la protección autónoma de ransomware de ONTAP
La función de protección de ransomware autónoma de ONTAP (ARP) utiliza el análisis de cargas de trabajo en entornos NAS (NFS y SMB) para detectar de forma proactiva y advertir sobre una actividad anómala en el archivo que puede indicar un ataque de ransomware.
Se pueden encontrar detalles adicionales y requisitos de licencia sobre ARP "aquí".
Workload Security se integra con ONTAP para recibir eventos ARP y proporcionar una capa de análisis adicional y respuestas automáticas.
Workload Security recibe los eventos ARP de ONTAP y realiza las siguientes acciones:
-
Correlaciona los eventos de cifrado de volúmenes con la actividad de usuario para identificar quién está causando los daños.
-
Implementa políticas de respuesta automática (si está definido)
-
Proporciona capacidades forenses:
-
Permitir a los clientes realizar investigaciones de infracciones de datos.
-
Identificar los ficheros que se vieron afectados, lo que ayudó a recuperarse más rápidamente y llevar a cabo investigaciones de infracciones de datos.
-
Requisitos previos
-
Versión mínima de ONTAP: 9.11.1
-
Volúmenes con ARP habilitado. Se pueden encontrar detalles sobre la activación de ARP "aquí". ARP debe habilitarse mediante System Manager de OnCommand. La seguridad de carga de trabajo no puede habilitar ARP.
-
Se debe agregar el recopilador de seguridad de carga de trabajo a través de la IP del clúster.
-
Se necesitan credenciales para que esta función funcione. En otras palabras, se deben usar credenciales de nivel de clúster al añadir la SVM.
Se requieren permisos de usuario
Si utiliza credenciales de administración del clúster, no es necesario contar con permisos nuevos.
Si utiliza un usuario personalizado (por ejemplo, csuser) con permisos proporcionados al usuario, siga los pasos que se indican a continuación para otorgar permisos a Seguridad de carga de trabajo para recopilar información relacionada con ARP desde ONTAP.
Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos de ONTAP:
security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role arwrole
Leer más sobre la configuración de otros "Permisos de ONTAP".
Alerta de muestra
A continuación se muestra una alerta de muestra generada debido a un evento ARP:
Un banner de gran confianza indica que el ataque ha mostrado el comportamiento de ransomware junto con actividades de cifrado de archivos. El gráfico de archivos cifrados indica la Marca de tiempo en la que la solución ARP ha detectado la actividad de cifrado de volúmenes.
Limitaciones
En caso de que una SVM no esté supervisada por Workload Security, pero hay eventos de ARP generados por ONTAP, los eventos serán recibidos y mostrados por Workload Security. Sin embargo, la información forense relacionada con la alerta, así como la asignación de usuarios, no se capturará ni se mostrará.
Resolución de problemas
Los problemas conocidos y sus resoluciones se describen en la siguiente tabla.
Problema: | Resolución: |
---|---|
Las alertas por correo electrónico se reciben 24 horas después de que se detecta un ataque. En la interfaz de usuario, las alertas se muestran 24 horas antes cuando los correos electrónicos son recibidos por Data Infrastructure Insights Workload Security. |
Cuando ONTAP envía el evento Ransomware Detected a la seguridad de las cargas de trabajo de información de la infraestructura de datos (es decir, seguridad de las cargas de trabajo), se envía el correo electrónico. El evento contiene una lista de ataques y sus marcas de tiempo. La interfaz de usuario de Workload Security muestra la Marca de tiempo de alerta del primer archivo atacado. ONTAP envía el evento Ransomware Detected a Información de la infraestructura de datos cuando se codifica un cierto número de archivos. Por lo tanto, es posible que haya una diferencia entre la hora en que se muestra la alerta en la interfaz de usuario y la hora en la que se envía el correo electrónico. |