Skip to main content
Amazon FSx for NetApp ONTAP
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Protégez vos données avec la protection autonome contre les ransomwares NetApp avec IA

Contributeurs netapp-rlithman
PDF

Protégez vos données avec NetApp Autonomous Ransomware Protection with AI (ARP/AI), une fonctionnalité qui utilise l'analyse de la charge de travail dans les environnements NAS (NFS/SMB) pour détecter et avertir des activités anormales pouvant être une attaque de ransomware. Lorsqu'une attaque est suspectée, ARP/AI crée également de nouveaux instantanés immuables à partir desquels vous pouvez restaurer vos données.

Description de la tâche

Utilisez ARP/AI pour vous protéger contre les attaques par déni de service où l'attaquant retient les données jusqu'à ce qu'une rançon soit payée. ARP/AI offre une détection de ransomware en temps réel basée sur :

  • Identification des données entrantes comme cryptées ou en texte clair.

  • Une analytique qui détecte :

    • Entropy: Une évaluation du caractère aléatoire des données dans un fichier

    • Types d'extension de fichier : extension non conforme au type d'extension normal

    • File IOPS : une augmentation de l'activité de volume anormale avec le chiffrement des données

ARP/AI peut détecter la propagation de la plupart des attaques de ransomware après le chiffrement d'un petit nombre de fichiers, prendre des mesures automatiquement pour protéger les données et vous alerter qu'une attaque suspectée est en cours.

La fonctionnalité ARP/AI se met automatiquement à jour en fonction de la version ONTAP exécutée par Amazon FSx for NetApp ONTAP, vous évitant ainsi d'avoir à effectuer des mises à jour manuelles.

Modes d'apprentissage et actifs

ARP/AI fonctionne d'abord en mode d'apprentissage puis passe automatiquement en mode actif.

  • Mode d'apprentissage : lorsque vous activez ARP/AI, il s'exécute en mode d'apprentissage. En mode d'apprentissage, le système de fichiers FSx for ONTAP développe un profil d'alerte basé sur les domaines d'analyse : entropie, types d'extension de fichier et IOPS de fichier. Une fois que le système de fichiers exécute ARP/AI en mode d'apprentissage pendant suffisamment de temps pour évaluer les caractéristiques de la charge de travail, Workload Factory passe automatiquement en mode actif d'ARP/AI et commence à protéger vos données.

  • Mode actif : une fois qu'ARP/AI passe en mode actif, FSx for ONTAP crée des instantanés ARP/AI pour protéger les données si une menace est détectée.

    En mode actif, si une extension de fichier est marquée comme anormale, vous devez évaluer l'alerte. Vous pouvez agir sur l'alerte pour protéger vos données ou marquer l'alerte comme un faux positif. Le fait de marquer une alerte comme un faux positif met à jour le profil d'alerte. Par exemple, si l'alerte est déclenchée par une nouvelle extension de fichier et que vous marquez l'alerte comme un faux positif, vous ne recevrez pas d'alerte la prochaine fois que l'extension de fichier sera observée.

Configurations non prises en charge

Les configurations suivantes ne prennent pas en charge l’utilisation d’ARP/AI.

  • Volumes SAN/Bloc

  • Volumes iSCSI

  • Volumes NVMe

Activer ARP/AI pour un système de fichiers ou un volume

L'activation d'ARP/AI pour un système de fichiers ajoute automatiquement une protection à tous les volumes NAS existants et NAS nouvellement créés (NFS/SMB). Vous pouvez également activer ARP/AI pour des volumes individuels.

Après avoir activé ARP/AI, si une attaque se produit et que vous identifiez que l'attaque est réelle, Workload Factory configure automatiquement une stratégie de snapshot qui prend jusqu'à six snapshots toutes les quatre heures. Chaque instantané est verrouillé pendant 2 à 5 jours.

Avant de commencer

Pour activer ARP/AI pour un système de fichiers ou un volume, vous devez associer un lien. "Apprenez à associer un lien existant ou à créer et associer un nouveau lien" . Une fois le lien associé, revenez à cette opération.

Activer ARP/AI pour un système de fichiers
Étapes

  1. Connectez-vous à l'aide de l'un des "expériences de la console".

  2. Dans stockage, sélectionnez aller à stock de stockage.

  3. Dans l'onglet FSx pour ONTAP, sélectionnez le menu à trois points du système de fichiers pour activer ARP/AI, puis sélectionnez Gérer.

  4. Sous Informations, sélectionnez l’icône en forme de crayon à côté de Protection autonome contre les ransomwares. L'icône en forme de crayon apparaît à côté de la flèche lorsque la souris survole la ligne Protection autonome contre les ransomwares.

  5. À partir de la page NetApp Autonomous Ransomware Protection with AI (ARP/AI), procédez comme suit :

    1. Activer ou désactiver la fonctionnalité.

    2. Création automatique d'instantanés : sélectionnez le nombre maximal d'instantanés à conserver et l'intervalle de temps entre la prise d'instantanés. La valeur par défaut est de 6 instantanés toutes les 4 heures.

    3. Instantanés immuables : sélectionnez la période de conservation par défaut en heures et le nombre maximal de jours pendant lesquels conserver les instantanés immuables. Activez cette option pour garantir que les instantanés ne peuvent pas être supprimés ou modifiés jusqu'à la fin de la période de conservation spécifiée.

    4. Détection : Vous pouvez également sélectionner l'un des paramètres suivants pour analyser et détecter automatiquement les anomalies.

  6. Acceptez la déclaration pour continuer.

  7. Sélectionnez appliquer pour enregistrer les modifications.

Activer ARP/AI pour un volume
Étapes

  1. Connectez-vous à l'aide de l'un des "expériences de la console".

  2. Dans stockage, sélectionnez aller à stock de stockage.

  3. Dans l'onglet FSx pour ONTAP, sélectionnez le menu à trois points du système de fichiers pour activer ARP/AI, puis sélectionnez Gérer.

  4. Dans l'onglet Volumes, sélectionnez le menu à trois points du volume pour activer ARP/AI, puis Actions de protection des données, puis Gérer ARP/AI.

  5. Dans la boîte de dialogue Gérer ARP/AI, procédez comme suit :

    1. Activer ou désactiver la fonctionnalité.

    2. Détection : Vous pouvez également sélectionner l'un des paramètres suivants pour analyser et détecter automatiquement les anomalies.

  6. Acceptez la déclaration pour continuer.

  7. Sélectionnez appliquer pour enregistrer les modifications.

Validez les attaques par ransomware

Déterminez si une attaque est une fausse alarme ou un incident lié à un ransomware.

Étapes

  1. Connectez-vous à l'aide de l'un des "expériences de la console".

  2. Dans stockage, sélectionnez aller à stock de stockage.

  3. Dans la présentation du système de fichiers, sélectionnez l'onglet volumes.

  4. Sélectionnez analyser les attaques dans la mosaïque protection anti-ransomware autonome.

  5. Téléchargez le rapport des événements d'attaque pour vérifier si des fichiers ou des dossiers ont été compromis, puis déterminez si une attaque s'est produite.

  6. Si aucune attaque n'est survenue, sélectionnez False Alarm pour le volume dans la table, puis sélectionnez Close

  7. Si une attaque s'est produite, sélectionnez attaque réelle pour le volume dans la table. La boîte de dialogue Restaurer les données de volume compromises s'ouvre. Vous pouvez passer immédiatement à restaurer vos donnéesou sélectionner Fermer et revenir ultérieurement pour terminer le processus de récupération.

Restaurez vos données après une attaque par ransomware

Lorsqu'une attaque est suspectée, le système prend un instantané du volume à ce moment-là et verrouille cette copie. Si l'attaque est confirmée ultérieurement, les fichiers affectés ou le volume entier peuvent être restaurés à l'aide de l'instantané ARP/AI.

Les snapshots verrouillés ne peuvent pas être supprimés tant que la période de conservation n'est pas terminée. Cependant, si vous décidez plus tard de marquer l'attaque comme un faux positif, la copie verrouillée sera supprimée.

En connaissant les fichiers affectés et l'heure de l'attaque, il est possible de restaurer de manière sélective les fichiers affectés à partir de différents snapshots plutôt que de simplement restaurer l'ensemble du volume sur l'un des snapshots.

Étapes

  1. Connectez-vous à l'aide de l'un des "expériences de la console".

  2. Dans stockage, sélectionnez aller à stock de stockage.

  3. Dans la présentation du système de fichiers, sélectionnez l'onglet volumes.

  4. Sélectionnez analyser les attaques dans la mosaïque protection anti-ransomware autonome.

  5. Si une attaque s'est produite, sélectionnez attaque réelle pour le volume dans la table.

  6. Dans la boîte de dialogue Restaurer les données de volume compromises, suivez les instructions pour effectuer une restauration au niveau fichier ou au niveau du volume. Dans la plupart des cas, vous restaurez des fichiers plutôt qu'un volume entier.

  7. Une fois la restauration terminée, sélectionnez Fermer.

Résultat

Les données compromises ont été restaurées.