La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Intégration avec la protection autonome contre les ransomwares ONTAP

10/14/2025 Contributeurs

La fonctionnalité de protection autonome contre les ransomwares (ARP) ONTAP utilise l'analyse de la charge de travail dans les environnements NAS (NFS et SMB) pour détecter et avertir de manière proactive de toute activité anormale dans le fichier qui pourrait indiquer une attaque de ransomware.

Des détails supplémentaires et des exigences de licence concernant ARP peuvent être trouvés"ici" .

Workload Security s'intègre à ONTAP pour recevoir les événements ARP et fournir une couche d'analyse supplémentaire et de réponses automatiques.

Workload Security reçoit les événements ARP d' ONTAP et entreprend les actions suivantes :

Met en corrélation les événements de chiffrement de volume avec l’activité de l’utilisateur pour identifier qui cause les dommages.
Implémente des politiques de réponse automatique (si définies)
Fournit des capacités d'investigation médico-légale :
- Permettre aux clients de mener des enquêtes sur les violations de données.
- Identifiez les fichiers affectés, ce qui permet une récupération plus rapide et la réalisation d'enquêtes sur les violations de données.

Prérequis

Version minimale ONTAP : 9.11.1
Volumes compatibles ARP. Vous trouverez des détails sur l'activation d'ARP."ici" . ARP doit être activé via OnCommand System Manager. Workload Security ne peut pas activer ARP.
Le collecteur de sécurité de la charge de travail doit être ajouté via l'adresse IP du cluster.
Les informations d’identification au niveau du cluster sont nécessaires pour que cette fonctionnalité fonctionne. En d’autres termes, les informations d’identification au niveau du cluster doivent être utilisées lors de l’ajout du SVM.

Autorisations utilisateur requises

Si vous utilisez les informations d’identification d’administration de cluster, aucune nouvelle autorisation n’est nécessaire.

Si vous utilisez un utilisateur personnalisé (par exemple, csuser) avec des autorisations accordées à l'utilisateur, suivez les étapes ci-dessous pour accorder des autorisations à Workload Security afin de collecter des informations liées à ARP à partir d' ONTAP.

Pour csuser avec les informations d'identification du cluster, procédez comme suit à partir de la ligne de commande ONTAP :

security login role create -role csrole -cmddirname "volume" -access readonly
security login role create -role csrole -cmddirname "security anti-ransomware volume" -access readonly

En savoir plus sur la configuration d'autres"Autorisations ONTAP" .

Exemple d'alerte

Un exemple d’alerte générée en raison d’un événement ARP est présenté ci-dessous :

Section supérieure de l'alerte Ransomware

Une bannière de confiance élevée indique que l'attaque a montré un comportement de ransomware ainsi que des activités de cryptage de fichiers. Le graphique des fichiers chiffrés indique l’horodatage auquel l’activité de chiffrement du volume a été détectée par la solution ARP.

Limites

Dans le cas où un SVM n'est pas surveillé par Workload Security, mais qu'il existe des événements ARP générés par ONTAP, les événements seront toujours reçus et affichés par Workload Security. Cependant, les informations médico-légales liées à l'alerte, ainsi que la cartographie des utilisateurs, ne seront pas capturées ou affichées.

Dépannage

Les problèmes connus et leurs résolutions sont décrits dans le tableau suivant.

Problème:	Résolution:
Les alertes par e-mail sont reçues 24 heures après la détection d'une attaque. Dans l'interface utilisateur, les alertes sont affichées 24 heures avant la réception des e-mails par Data Infrastructure Insights Workload Security.	Lorsque ONTAP envoie l'événement Ransomware Detected à Data Infrastructure Insights Workload Security (c'est-à-dire Workload Security), l'e-mail est envoyé. L'événement contient une liste d'attaques et leurs horodatages. L'interface utilisateur de sécurité de la charge de travail affiche l'horodatage d'alerte du premier fichier attaqué. ONTAP envoie l'événement Ransomware Detected à Data Infrastructure Insights lorsqu'un certain nombre de fichiers sont codés. Par conséquent, il peut y avoir une différence entre le moment où l'alerte s'affiche dans l'interface utilisateur et le moment où l'e-mail est envoyé.

Problème:

Résolution:

Les alertes par e-mail sont reçues 24 heures après la détection d'une attaque. Dans l'interface utilisateur, les alertes sont affichées 24 heures avant la réception des e-mails par Data Infrastructure Insights Workload Security.

Lorsque ONTAP envoie l'événement Ransomware Detected à Data Infrastructure Insights Workload Security (c'est-à-dire Workload Security), l'e-mail est envoyé. L'événement contient une liste d'attaques et leurs horodatages. L'interface utilisateur de sécurité de la charge de travail affiche l'horodatage d'alerte du premier fichier attaqué. ONTAP envoie l'événement Ransomware Detected à Data Infrastructure Insights lorsqu'un certain nombre de fichiers sont codés. Par conséquent, il peut y avoir une différence entre le moment où l'alerte s'affiche dans l'interface utilisateur et le moment où l'e-mail est envoyé.