Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestiona los parámetros de detección de ataques de protección autónoma frente a ransomware

12/10/2024 Colaboradores

PDF

A partir de ONTAP 9.11,1, se pueden modificar los parámetros de detección de ransomware en un volumen específico con la protección autónoma contra ransomware habilitada y notificar un aumento conocido como actividad normal de los archivos. El ajuste de los parámetros de detección ayuda a mejorar la precisión de los informes según la carga de trabajo del volumen específico.

Cómo funciona la detección de ataques

Cuando la protección autónoma contra ransomware (ARP) está en modo de aprendizaje, desarrolla valores básicos para los comportamientos de volumen. Son entropía, extensiones de archivos y, a partir de ONTAP 9.11.1, IOPS. Estas líneas de base se utilizan para evaluar las amenazas de ransomware. Para obtener más información sobre estos criterios, consulte Lo que ARP detecta.

En ONTAP 9.10.1, ARP emite una advertencia si detecta las dos condiciones siguientes:

Más de 20 archivos con extensiones de archivo no observadas anteriormente en el volumen
Alta entropía de datos

A partir de ONTAP 9.11.1, ARP emite una advertencia de amenaza si se cumple only una condición. Por ejemplo, si se observan más de 20 archivos con extensiones de archivo que no se han observado previamente en el volumen en un período de 24 horas, ARP lo clasificará como una amenaza independientemente de la entropía observada. Los valores de 24 horas y 20 archivo son los valores predeterminados, que se pueden modificar.

Para reducir el número elevado de alertas de falsos positivos, vaya a Almacenamiento > Volúmenes > Seguridad > Configurar características de carga de trabajo y desactive Supervisar nuevos tipos de archivo. Esta configuración está desactivada de forma predeterminada en ONTAP 9.14,1 P7, 9.15.1 P1 y 9.16.1 RC y versiones posteriores.

A partir de ONTAP 9.14,1, se pueden configurar alertas cuando ARP observa una nueva extensión de archivo y cuando ARP crea una instantánea. Para obtener más información, consulte [modify-alerts].

Ciertos volúmenes y cargas de trabajo requieren parámetros de detección diferentes. Por ejemplo, el volumen compatible con ARP puede alojar numerosos tipos de extensiones de archivo, en cuyo caso es posible que desee modificar el recuento de umbrales para extensiones de archivo nunca vistas hasta un número mayor que el predeterminado de 20 o deshabilitar las advertencias basadas en extensiones de archivo nunca vistas. A partir de ONTAP 9.11.1, puedes modificar los parámetros de detección de ataques para que se adapten mejor a tus cargas de trabajo específicas.

Modificar los parámetros de detección de ataques

Dependiendo de los comportamientos esperados de su volumen con ARP habilitado, es posible que desee modificar los parámetros de detección de ataques.

Pasos

Ver los parámetros de detección de ataques existentes:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

Todos los campos mostrados se pueden modificar con valores booleanos o enteros. Para modificar un campo, utilice la security anti-ransomware volume attack-detection-parameters modify comando.

Obtenga más información sobre los comandos descritos en este procedimiento en el "Referencia de comandos de la ONTAP".

Informe de sobretensiones conocidas

ARP continúa modificando los valores de línea base para los parámetros de detección, incluso en modo activo. Si conoce aumentos en su actividad de volumen, ya sea un aumento puntual o un aumento característico de una nueva normalidad, debe informarlos como seguros. Informar manualmente de estas subidas como seguras ayuda a mejorar la precisión de las evaluaciones de amenazas de ARP.

Informe de un aumento puntual

Si se produce un aumento puntual en circunstancias conocidas y desea que ARP informe de un aumento similar en circunstancias futuras, borre el aumento del comportamiento de la carga de trabajo:

security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

Modificar sobretensiones de línea base

Si una sobretensión informada debe considerarse un comportamiento normal de la aplicación, notifique la sobretensión como tal para modificar el valor de sobretensión de línea base.

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

Configurar alertas ARP

A partir de ONTAP 9.14.1, ARP permite especificar alertas para dos eventos ARP:

Observación de la nueva extensión de archivo en un volumen
Creación de una instantánea ARP

Es posible establecer alertas para estos dos eventos en volúmenes individuales o para toda la SVM. Si se habilitan alertas para la SVM, las configuraciones de alerta solo heredan los volúmenes creados después de habilitar la alerta. De manera predeterminada, las alertas no están habilitadas en ningún volumen.

Las alertas de eventos se pueden controlar con verificación multiadministrador. Para obtener más información, consulte Verificación multi-admin con volúmenes protegidos con ARP.

System Manager

Configure alertas para un volumen

Navega a volúmenes. Seleccione el volumen individual para el cual desea modificar la configuración.
Seleccione la pestaña Seguridad y luego Configuración de seguridad de eventos.
Para recibir alertas de Nueva extensión de archivo detectada y Instantánea de ransomware creada, seleccione el menú desplegable bajo el encabezado Gravedad. Modifique la configuración de No generar evento a Aviso.
Selecciona Guardar.

Configure alertas para una SVM

Desplácese hasta Storage VM y seleccione la SVM para la que desea habilitar la configuración.
Bajo el encabezado Seguridad, localiza la tarjeta Anti-ransomware. Seleccione a continuación Editar gravedad de evento de ransomware.
Para recibir alertas de Nueva extensión de archivo detectada y Instantánea de ransomware creada, seleccione el menú desplegable bajo el encabezado Gravedad. Modifique la configuración de No generar evento a Aviso.
Selecciona Guardar.

CLI