Gérez les paramètres de détection des attaques par protection anti-ransomware autonome
Depuis la version ONTAP 9.11.1, vous pouvez modifier les paramètres de détection des ransomwares sur un volume spécifique lorsque la protection anti-ransomware autonome est activée et signaler une augmentation connue sous le nom d'activité de fichier normale. Le réglage des paramètres de détection permet d'améliorer la précision des rapports en fonction de votre charge de travail de volume spécifique.
Fonctionnement de la détection des attaques
Lorsque la protection anti-ransomware autonome (ARP) est en mode d'apprentissage, elle développe des valeurs de base pour les comportements de volume. Il s'agit d'entropie, d'extensions de fichiers et, à partir de ONTAP 9.11.1, d'IOPS. Ces données de base sont utilisées pour évaluer les menaces de ransomware. Pour plus d'informations sur ces critères, voir Ce que le protocole ARP détecte.
Dans ONTAP 9.10.1, ARP émet un avertissement s'il détecte les deux conditions suivantes :
-
Plus de 20 fichiers avec des extensions de fichier qui n'ont pas été observées précédemment dans le volume
-
Données d'entropie élevées
À partir de ONTAP 9.11.1, ARP émet un avertissement de menace si seule une condition est remplie. Par exemple, si plus de 20 fichiers avec des extensions de fichier qui n'ont pas été observées précédemment dans le volume sont observés dans une période de 24 heures, ARP catégorise ceci comme une menace indépendamment de l'entropie observée. Les valeurs de 24 heures et 20 fichiers sont des valeurs par défaut, qui peuvent être modifiées.
Pour réduire le nombre élevé d'alertes fausses positives, accédez à stockage > volumes > sécurité > configurer les caractéristiques de la charge de travail et désactivez surveiller les nouveaux types de fichiers. Ce paramètre est désactivé par défaut dans ONTAP 9.14.1 P7, 9.15.1 P1 et 9.16.1 RC et versions ultérieures. |
À partir de ONTAP 9.14.1, vous pouvez configurer des alertes lorsque ARP observe une nouvelle extension de fichier et lorsque ARP crée un snapshot. Pour plus d'informations, voir [modify-alerts].
Certains volumes et charges de travail requièrent des paramètres de détection différents. Par exemple, votre volume ARP peut héberger de nombreux types d'extensions de fichiers. Dans ce cas, vous pouvez modifier le nombre de seuils pour les extensions de fichiers jamais vues à un nombre supérieur à la valeur par défaut de 20 ou désactiver les avertissements basés sur des extensions de fichiers jamais vues. À partir de ONTAP 9.11.1, vous pouvez modifier les paramètres de détection des attaques afin qu'ils s'adaptent mieux à vos workloads spécifiques.
Modifier les paramètres de détection d'attaque
Selon les comportements attendus de votre volume ARP, vous pouvez modifier les paramètres de détection d'attaque.
-
Afficher les paramètres de détection d'attaque existants :
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>
security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1 Vserver Name : vs1 Volume Name : vol1 Is Detection Based on High Entropy Data Rate? : true Is Detection Based on Never Seen before File Extension? : true Is Detection Based on File Create Rate? : true Is Detection Based on File Rename Rate? : true Is Detection Based on File Delete Rate? : true Is Detection Relaxing Popular File Extensions? : true High Entropy Data Surge Notify Percentage : 100 File Create Rate Surge Notify Percentage : 100 File Rename Rate Surge Notify Percentage : 100 File Delete Rate Surge Notify Percentage : 100 Never Seen before File Extensions Count Notify Threshold : 20 Never Seen before File Extensions Duration in Hour : 24
-
Tous les champs affichés peuvent être modifiés avec des valeurs booléennes ou entières. Pour modifier un champ, utilisez
security anti-ransomware volume attack-detection-parameters modify
commande.Pour en savoir plus sur les commandes décrites dans cette procédure"Référence de commande ONTAP", reportez-vous à la .
Signaler les surtensions connues
ARP continue de modifier les valeurs de base pour les paramètres de détection, même en mode actif. Si vous connaissez des surtensions dans votre activité de volume, des surtensions ou des surtensions qui sont caractéristiques d'une nouvelle normale, vous devez les signaler comme étant sûres. La déclaration manuelle de ces surtensions comme étant sûres contribue à améliorer la précision des évaluations des menaces d'ARP.
-
Si une surtension ponctuelle se produit dans des circonstances connues et que vous souhaitez que ARP signale une surtension similaire dans des circonstances futures, éliminez la poussée du comportement de la charge de travail :
security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>
-
Si une surtension signalée doit être considérée comme un comportement normal de l'application, signalez-la en tant que telle pour modifier la valeur de surtension de la ligne de base.
security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>
Configurez les alertes ARP
Depuis ONTAP 9.14.1, ARP vous permet de spécifier des alertes pour deux événements ARP :
-
Observation de la nouvelle extension de fichier sur un volume
-
Création d'un instantané ARP
Les alertes liées à ces deux événements peuvent être définies sur des volumes individuels ou pour l'ensemble du SVM. Si vous activez des alertes pour le SVM, les paramètres d'alerte ne sont hérités que par les volumes créés après l'activation de l'alerte. Par défaut, les alertes ne sont activées sur aucun volume.
Les alertes d'événements peuvent être contrôlées par une vérification multiadministrateur. Pour plus d'informations, voir Vérification multiadministrateur avec volumes protégés par ARP.
-
Accédez à volumes. Sélectionnez le volume individuel pour lequel vous souhaitez modifier les paramètres.
-
Sélectionnez l'onglet sécurité, puis Paramètres de sécurité des événements.
-
Pour recevoir des alertes pour Nouvelle extension de fichier détectée et instantané de ransomware créé, sélectionnez le menu déroulant sous l'en-tête gravité. Modifiez le paramètre de ne pas générer l'événement à Avis.
-
Sélectionnez Enregistrer.
-
Naviguer jusqu'à Storage VM puis sélectionner le SVM pour lequel vous voulez activer les paramètres.
-
Sous la rubrique sécurité, repérez la carte anti-ransomware. Sélectionnez , puis Modifier la gravité des événements ransomware.
-
Pour recevoir des alertes pour Nouvelle extension de fichier détectée et instantané de ransomware créé, sélectionnez le menu déroulant sous l'en-tête gravité. Modifiez le paramètre de ne pas générer l'événement à Avis.
-
Sélectionnez Enregistrer.
-
Pour définir des alertes pour une nouvelle extension de fichier :
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
Pour définir des alertes pour la création d'un snapshot ARP :
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
Confirmez vos paramètres à l'aide du
anti-ransomware volume event-log show
commande.
-
Pour définir des alertes pour une nouvelle extension de fichier :
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
Pour définir des alertes pour la création d'un snapshot ARP :
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
Confirmez vos paramètres à l'aide du
security anti-ransomware vserver event-log show
commande.