Notes de mise à jour
Gérez les paramètres de détection des attaques par protection anti-ransomware autonome
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
À partir de la version ONTAP 9.11.1, vous pouvez modifier les paramètres de détection des ransomwares sur un volume spécifique optimisé par la protection anti-ransomware autonome et signaler une augmentation connue sous le nom d'activité de fichier normale. Le réglage des paramètres de détection permet d'améliorer la précision des rapports en fonction de votre charge de travail de volume spécifique.
Fonctionnement de la détection des attaques
Lorsque la protection anti-ransomware autonome (ARP) est en mode d'apprentissage, elle développe des valeurs de base pour les comportements de volume. Il s'agit d'entropie, d'extensions de fichiers et, à partir de ONTAP 9.11.1, d'IOPS. Ces données de base sont utilisées pour évaluer les menaces de ransomware. Pour plus d'informations sur ces critères, reportez-vous à la section Ce que le protocole ARP détecte.
Dans ONTAP 9.10.1, ARP émet un avertissement s'il détecte les deux conditions suivantes :
-
plus de 20 fichiers avec des extensions de fichier qui n'ont pas été observées précédemment dans le volume
-
données d'entropie élevées
À partir de ONTAP 9.11.1, ARP émet un avertissement de menace si seule une condition est remplie. Par exemple, si plus de 20 fichiers avec des extensions de fichier qui n'ont pas été observées précédemment dans le volume sont observés dans une période de 24 heures, ARP catégorise ceci comme une menace indépendamment de l'entropie observée. (Les valeurs de fichier 24 heures et 20 sont des valeurs par défaut, qui peuvent être modifiées.)
À partir de ONTAP 9.14.1, vous pouvez configurer des alertes lorsque ARP observe une nouvelle extension de fichier et lorsque ARP crée un instantané. Pour plus d'informations, voir [modify-alerts]
Certains volumes et charges de travail requièrent des paramètres de détection différents. Par exemple, votre volume ARP peut héberger de nombreux types d'extensions de fichiers. Dans ce cas, vous pouvez modifier le nombre de seuils pour les extensions de fichiers jamais vues à un nombre supérieur à la valeur par défaut de 20 ou désactiver les avertissements basés sur des extensions de fichiers jamais vues. À partir de ONTAP 9.11.1, vous pouvez modifier les paramètres de détection des attaques afin qu'ils s'adaptent mieux à vos workloads spécifiques.
Modifier les paramètres de détection d'attaque
Selon les comportements attendus de votre volume ARP, vous pouvez modifier les paramètres de détection d'attaque.
-
Afficher les paramètres de détection d'attaque existants :
security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_namesecurity anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1 Vserver Name : vs1 Volume Name : vol1 Is Detection Based on High Entropy Data Rate? : true Is Detection Based on Never Seen before File Extension? : true Is Detection Based on File Create Rate? : true Is Detection Based on File Rename Rate? : true Is Detection Based on File Delete Rate? : true Is Detection Relaxing Popular File Extensions? : true High Entropy Data Surge Notify Percentage : 100 File Create Rate Surge Notify Percentage : 100 File Rename Rate Surge Notify Percentage : 100 File Delete Rate Surge Notify Percentage : 100 Never Seen before File Extensions Count Notify Threshold : 20 Never Seen before File Extensions Duration in Hour : 24 -
Tous les champs affichés peuvent être modifiés avec des valeurs booléennes ou entières. Pour modifier un champ, utilisez
security anti-ransomware volume attack-detection-parameters modifycommande.Pour obtenir la liste complète des paramètres, reportez-vous à la section "Référence de commande ONTAP".
Signaler les surtensions connues
ARP continue de modifier les valeurs de base pour les paramètres de détection, même en mode actif. Si vous connaissez des surtensions dans votre activité de volume—des surtensions ou une surtension qui est caractéristique d'une nouvelle normale—vous devriez la signaler comme sûre. La déclaration manuelle de ces surtensions comme étant sûres contribue à améliorer la précision des évaluations des menaces d'ARP.
-
Si une surtension ponctuelle se produit dans des circonstances connues et que vous souhaitez que ARP signale une surtension similaire dans des circonstances futures, éliminez la poussée du comportement de la charge de travail :
security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name
-
Si une surtension signalée doit être considérée comme un comportement normal de l'application, signalez-la en tant que telle pour modifier la valeur de surtension de la ligne de base.
security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name
Configurez les alertes ARP
Depuis ONTAP 9.14.1, ARP vous permet de spécifier des alertes pour deux événements ARP :
-
Observation de la nouvelle extension de fichier sur un volume
-
Création d'un instantané ARP
Les alertes liées à ces deux événements peuvent être définies sur des volumes individuels ou pour l'ensemble du SVM. Si vous activez des alertes pour le SVM, les paramètres d'alerte ne sont hérités que par les volumes créés après l'activation de l'alerte. Par défaut, les alertes ne sont activées sur aucun volume.
Les alertes d'événements peuvent être contrôlées par une vérification multiadministrateur. Pour plus d'informations, voir Vérification multiadministrateur avec volumes protégés par ARP.
-
Accédez à volumes. Sélectionnez le volume individuel pour lequel vous souhaitez modifier les paramètres.
-
Sélectionnez l'onglet sécurité, puis Paramètres de sécurité des événements.
-
Pour recevoir des alertes pour Nouvelle extension de fichier détectée et instantané de ransomware créé, sélectionnez le menu déroulant sous l'en-tête gravité. Modifiez le paramètre de ne pas générer l'événement à Avis.
-
Sélectionnez Enregistrer.
-
Naviguer jusqu'à Storage VM puis sélectionner le SVM pour lequel vous voulez activer les paramètres.
-
Sous la rubrique sécurité, repérez la carte anti-ransomware. Sélectionnez
Puis Modifier la gravité des événements ransomware. -
Pour recevoir des alertes pour Nouvelle extension de fichier détectée et instantané de ransomware créé, sélectionnez le menu déroulant sous l'en-tête gravité. Modifiez le paramètre de ne pas générer l'événement à Avis.
-
Sélectionnez Enregistrer.
-
Pour définir des alertes pour une nouvelle extension de fichier :
security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true -
Pour définir des alertes pour la création d'un instantané ARP :
security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true -
Confirmez vos paramètres à l'aide du
anti-ransomware volume event-log showcommande.
-
Pour définir des alertes pour une nouvelle extension de fichier :
security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true -
Pour définir des alertes pour la création d'un instantané ARP :
security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true -
Confirmez vos paramètres à l'aide du
security anti-ransomware vserver event-log showcommande.