Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérez les paramètres de détection des attaques par protection anti-ransomware autonome de ONTAP

Contributeurs netapp-ahibbard netapp-dbagwell netapp-aaron-holt netapp-aherbin
PDF

À partir de la version ONTAP 9.11.1, vous pouvez modifier les paramètres de détection des ransomwares sur un volume spécifique lorsque la protection anti-ransomware autonome est activée et signaler une augmentation connue sous le nom d'activité de fichier normale. Le réglage des paramètres de détection permet d'améliorer la précision des rapports en fonction de votre charge de travail de volume spécifique.

Fonctionnement de la détection des attaques

Lorsque la protection autonome contre les ransomwares (ARP) est en mode d'apprentissage ou d'évaluation, elle développe des valeurs de référence pour les comportements des volumes. Celles-ci incluent l'entropie, les extensions de fichiers et, à partir d' ONTAP 9.11.1, les IOPS. Ces valeurs de référence servent à évaluer les menaces de ransomware. Pour plus d'informations sur ces critères, consultez la page "Ce que le protocole ARP détecte" .

Certains volumes et charges de travail requièrent des paramètres de détection différents. Par exemple, votre volume ARP peut héberger de nombreux types d'extensions de fichiers. Dans ce cas, vous pouvez modifier le nombre de seuils pour les extensions de fichiers jamais vues à un nombre supérieur à la valeur par défaut de 20 ou désactiver les avertissements basés sur des extensions de fichiers jamais vues. À partir de ONTAP 9.11.1, vous pouvez modifier les paramètres de détection des attaques afin qu'ils s'adaptent mieux à vos workloads spécifiques.

À partir de ONTAP 9.14.1, vous pouvez configurer des alertes lorsque ARP observe une nouvelle extension de fichier et lorsque ARP crée un snapshot. Pour plus d'informations, voir [modify-alerts].

Détection d'attaques dans les environnements NAS

Dans ONTAP 9.10.1, ARP émet un avertissement s'il détecte les deux conditions suivantes :

  • Plus de 20 fichiers avec des extensions de fichier qui n'ont pas été observées précédemment dans le volume

  • Données d'entropie élevées

À partir de ONTAP 9.11.1, ARP émet un avertissement de menace si seule une condition est remplie. Par exemple, si plus de 20 fichiers avec des extensions de fichier qui n'ont pas été observées précédemment dans le volume sont observés dans une période de 24 heures, ARP catégorise ceci comme une menace indépendamment de l'entropie observée. Les valeurs de 24 heures et 20 fichiers sont des valeurs par défaut, qui peuvent être modifiées.

Remarque Pour réduire le nombre élevé de fausses alertes positives, accédez à Stockage > Volumes > Sécurité > Configurer les caractéristiques de la charge de travail et désactivez l'option Surveiller les nouveaux types de fichiers. Ce paramètre est désactivé par défaut dans ONTAP 9.14.1 P7, 9.15.1 P1, 9.16.1 et versions ultérieures.
Détection des attaques dans les environnements SAN

À partir d' ONTAP 9.17.1, ARP émet un avertissement s'il détecte des taux de chiffrement élevés dépassant un seuil appris automatiquement. Ce seuil est établi après une "période d'évaluation" mais peut être modifié.

Modifier les paramètres de détection d'attaque

En fonction des comportements attendus de votre volume compatible ARP, vous souhaiterez peut-être modifier les paramètres de détection d’attaque.

Étapes

  1. Afficher les paramètres de détection d'attaque existants :

    security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>
    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
           Block Device Auto Learned Encryption Threshold : 10
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

  2. Tous les champs affichés sont modifiables avec des valeurs booléennes ou entières. Pour modifier un champ, utilisez le bouton security anti-ransomware volume attack-detection-parameters modify commande.

    Pour en savoir plus, security anti-ransomware volume attack-detection-parameters modify consultez le "Référence de commande ONTAP".

Signaler les surtensions connues

ARP continue de modifier les valeurs de base pour les paramètres de détection, même lorsqu'il est actif. Si vous connaissez des surtensions dans votre activité de volume, des surtensions ou des surtensions qui sont caractéristiques d'une nouvelle normale, vous devez les signaler comme étant sûres. La déclaration manuelle de ces surtensions comme étant sûres contribue à améliorer la précision des évaluations des menaces d'ARP.

Signaler une surtension ponctuelle

  1. Si une surtension ponctuelle se produit dans des circonstances connues et que vous souhaitez que ARP signale une surtension similaire dans des circonstances futures, éliminez la poussée du comportement de la charge de travail :

    security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

    Pour en savoir plus, security anti-ransomware volume workload-behavior clear-surge consultez le "Référence de commande ONTAP".

Modifier la surtension de la ligne de base

  1. Si une surtension signalée doit être considérée comme un comportement normal de l'application, signalez-la en tant que telle pour modifier la valeur de surtension de la ligne de base.

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

    En savoir plus sur security anti-ransomware volume workload-behavior update-baseline-from-surge dans le "Référence de commande ONTAP" .

Configurez les alertes ARP

Depuis ONTAP 9.14.1, ARP vous permet de spécifier des alertes pour deux événements ARP :

  • Observation de la nouvelle extension de fichier sur un volume

  • Création d'un instantané ARP

Les alertes liées à ces deux événements peuvent être définies sur des volumes individuels ou pour l'ensemble du SVM. Si vous activez des alertes pour le SVM, les paramètres d'alerte ne sont hérités que par les volumes créés après l'activation de l'alerte. Par défaut, les alertes ne sont activées sur aucun volume.

Les alertes d'événements peuvent être contrôlées par vérification multi-administrateur. Pour plus d'informations, consultez la section "Vérification multiadministrateur avec volumes protégés par ARP" .

Étapes

Vous pouvez utiliser System Manager ou l'interface de ligne de commande ONTAP pour définir des alertes pour les événements ARP.

System Manager
Définir des alertes pour un volume

  1. Accédez à Volumes. Sélectionnez le volume dont vous souhaitez modifier les paramètres.

  2. Sélectionnez l'onglet Sécurité puis Paramètres de gravité des événements.

  3. Pour recevoir des alertes en cas de Nouvelle extension de fichier détectée et de Création d'un instantané de rançongiciel, sélectionnez le menu déroulant sous Gravité. Modifiez le paramètre de Ne pas générer d'événement à Avis.

  4. Sélectionnez Enregistrer.

Définir des alertes pour un SVM

  1. Accédez à Storage VM puis sélectionnez la SVM pour laquelle vous souhaitez activer les paramètres.

  2. Sous la rubrique Sécurité, recherchez la carte Anti-ransomware. Sélectionnez Icône des options de menu puis Modifier la gravité de l'événement Ransomware.

  3. Pour recevoir des alertes en cas de Nouvelle extension de fichier détectée et de Création d'un instantané de rançongiciel, sélectionnez le menu déroulant sous Gravité. Modifiez le paramètre de Ne pas générer d'événement à Avis.

  4. Sélectionnez Enregistrer.

CLI
Définir des alertes pour un volume

  • Pour définir des alertes pour une nouvelle extension de fichier :

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • Pour définir des alertes pour la création d'un snapshot ARP :

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • Confirmez vos paramètres à l'aide du anti-ransomware volume event-log show commande.

Définir des alertes pour un SVM

  • Pour définir des alertes pour une nouvelle extension de fichier :

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • Pour définir des alertes pour la création d'un snapshot ARP :

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • Confirmez vos paramètres à l'aide du security anti-ransomware vserver event-log show commande.

En savoir plus sur security anti-ransomware vserver event-log commandes dans le "Référence de commande ONTAP" .

Informations associées