Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestiona los parámetros de detección de ataques de protección autónoma frente a ransomware

Colaboradores
PDF

A partir de ONTAP 9.11.1, se pueden modificar los parámetros de detección de ransomware en un volumen específico habilitado para la protección autónoma contra ransomware e informar un aumento conocido como actividad normal de los archivos. El ajuste de los parámetros de detección ayuda a mejorar la precisión de los informes según la carga de trabajo del volumen específico.

Cómo funciona la detección de ataques

Cuando la protección autónoma contra ransomware (ARP) está en modo de aprendizaje, desarrolla valores básicos para los comportamientos de volumen. Son entropía, extensiones de archivos y, a partir de ONTAP 9.11.1, IOPS. Estas líneas de base se utilizan para evaluar las amenazas de ransomware. Para obtener más información sobre estos criterios, consulte Lo que ARP detecta.

En ONTAP 9.10.1, ARP emite una advertencia si detecta las dos condiciones siguientes:

  • más de 20 archivos con extensiones de archivo no observadas anteriormente en el volumen

  • alta entropía de datos

A partir de ONTAP 9.11.1, ARP emite una advertencia de amenaza si se cumple only una condición. Por ejemplo, si se observan más de 20 archivos con extensiones de archivo que no se han observado previamente en el volumen en un período de 24 horas, ARP lo clasificará como una amenaza independientemente de la entropía observada. (Los valores de archivo de 24 hora y 20 son los valores predeterminados, que se pueden modificar).

A partir de ONTAP 9.14.1, se pueden configurar alertas cuando ARP observa una nueva extensión de archivo y cuando ARP crea una instantánea. Para obtener más información, consulte [modify-alerts]

Ciertos volúmenes y cargas de trabajo requieren parámetros de detección diferentes. Por ejemplo, el volumen compatible con ARP puede alojar numerosos tipos de extensiones de archivo, en cuyo caso es posible que desee modificar el recuento de umbrales para extensiones de archivo nunca vistas hasta un número mayor que el predeterminado de 20 o deshabilitar las advertencias basadas en extensiones de archivo nunca vistas. A partir de ONTAP 9.11.1, puedes modificar los parámetros de detección de ataques para que se adapten mejor a tus cargas de trabajo específicas.

Modificar los parámetros de detección de ataques

Dependiendo de los comportamientos esperados de su volumen con ARP habilitado, es posible que desee modificar los parámetros de detección de ataques.

Pasos

  1. Ver los parámetros de detección de ataques existentes:

    security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name

    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

  2. Todos los campos mostrados se pueden modificar con valores booleanos o enteros. Para modificar un campo, utilice la security anti-ransomware volume attack-detection-parameters modify comando.

    Para obtener una lista completa de parámetros, consulte "Referencia de comandos de la ONTAP".

Informe de sobretensiones conocidas

ARP continúa modificando los valores de línea base para los parámetros de detección, incluso en modo activo. Si conoce aumentos en su actividad de volumen, ya sea un aumento puntual o un aumento característico de una nueva normalidad, debe informar de ello como seguro. Informar manualmente de estas subidas como seguras ayuda a mejorar la precisión de las evaluaciones de amenazas de ARP.

Informe de un aumento puntual

  1. Si se produce un aumento puntual en circunstancias conocidas y desea que ARP informe de un aumento similar en circunstancias futuras, borre el aumento del comportamiento de la carga de trabajo:

    security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name

Modificar sobretensiones de línea base

  1. Si una sobretensión informada debe considerarse un comportamiento normal de la aplicación, notifique la sobretensión como tal para modificar el valor de sobretensión de línea base.

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name

Configurar alertas ARP

A partir de ONTAP 9.14.1, ARP permite especificar alertas para dos eventos ARP:

  • Observación de la nueva extensión de archivo en un volumen

  • Creación de una instantánea ARP

Es posible establecer alertas para estos dos eventos en volúmenes individuales o para toda la SVM. Si se habilitan alertas para la SVM, las configuraciones de alerta solo heredan los volúmenes creados después de habilitar la alerta. De manera predeterminada, las alertas no están habilitadas en ningún volumen.

Las alertas de eventos se pueden controlar con verificación multiadministrador. Para obtener más información, consulte Verificación multi-admin con volúmenes protegidos con ARP.

System Manager
Configure alertas para un volumen

  1. Navega a volúmenes. Seleccione el volumen individual para el cual desea modificar la configuración.

  2. Seleccione la pestaña Seguridad y luego Configuración de seguridad de eventos.

  3. Para recibir alertas de Nueva extensión de archivo detectada y Instantánea de ransomware creada, seleccione el menú desplegable bajo el encabezado Gravedad. Modifique la configuración de No generar evento a Aviso.

  4. Selecciona Guardar.

Configure alertas para una SVM

  1. Desplácese hasta Storage VM y seleccione la SVM para la que desea habilitar la configuración.

  2. Bajo el encabezado Seguridad, localiza la tarjeta Anti-ransomware. Seleccione tres puntos Luego Editar gravedad de evento de ransomware.

  3. Para recibir alertas de Nueva extensión de archivo detectada y Instantánea de ransomware creada, seleccione el menú desplegable bajo el encabezado Gravedad. Modifique la configuración de No generar evento a Aviso.

  4. Selecciona Guardar.

CLI
Configure alertas para un volumen

  • Para configurar alertas para una nueva extensión de archivo:

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • Para configurar alertas para la creación de una instantánea ARP:

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • Confirme la configuración con el anti-ransomware volume event-log show comando.

Configure alertas para una SVM

  • Para configurar alertas para una nueva extensión de archivo:

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • Para configurar alertas para la creación de una instantánea ARP:

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • Confirme la configuración con el security anti-ransomware vserver event-log show comando.

Más información