Protégez vos données avec la protection autonome contre les ransomwares NetApp avec IA
Protégez vos données avec NetApp Autonomous Ransomware Protection with AI (ARP/AI). Il surveille l’activité dans les environnements NAS (NFS/SMB) et SAN afin de détecter tout comportement inhabituel pouvant signaler une attaque par ransomware. Si une menace est détectée, ARP/AI crée automatiquement de nouveaux instantanés immuables afin que vous puissiez restaurer vos données.
Utilisez ARP/AI pour vous protéger contre les attaques par déni de service où l'attaquant retient les données jusqu'à ce qu'une rançon soit payée. ARP/AI offre une détection de ransomware en temps réel basée sur :
-
Identification des données entrantes comme cryptées ou en texte clair.
-
Une analytique qui détecte :
-
Entropie : une évaluation du caractère aléatoire des données dans un fichier (utilisée dans les environnements NAS et SAN)
-
Types d’extensions de fichiers : Une extension qui ne correspond pas au type d’extension normal (utilisée uniquement dans les environnements NAS)
-
IOPS de fichiers : Augmentation anormale de l’activité de volume avec chiffrement (utilisé uniquement dans les environnements NAS)
-
ARP/AI peut détecter la propagation de la plupart des attaques de ransomware après le chiffrement d'un petit nombre de fichiers, prendre des mesures automatiquement pour protéger les données et vous alerter qu'une attaque suspectée est en cours.
La fonctionnalité ARP/AI se met automatiquement à jour en fonction de la version ONTAP exécutée par Amazon FSx for NetApp ONTAP, vous évitant ainsi d'avoir à effectuer des mises à jour manuelles.
- Modes d'apprentissage et actifs
-
Le comportement d'ARP/AI dépend du protocole et du type de volume :
-
Volumes NAS (NFS/SMB) : ARP/IA commence à fonctionner dès que vous l’activez. Il utilise un modèle d’IA pré-entraîné pour détecter immédiatement les menaces de ransomware.
-
Volumes SAN (à partir d'ONTAP 9.17.1) : ARP/AI assure une protection immédiate, même pendant la période d'évaluation initiale. Durant cette période de 2 à 4 semaines, le système apprend l'activité de chiffrement normale et définit les seuils d'alerte. Parallèlement, il continue de surveiller vos données, de détecter les menaces et d'envoyer des alertes.
-
Mode actif : Lorsque le mode actif est activé, FSx for ONTAP crée des instantanés ARP/AI pour aider à protéger vos données lorsqu’il détecte une menace potentielle.
-
Si le système signale une extension de fichier comme inhabituelle, consultez l'alerte. Vous pouvez répondre à l'alerte pour protéger vos données, ou la marquer comme un faux positif si l'activité est attendue.
Lorsque vous signalez une alerte comme étant un faux positif, le système met à jour ses paramètres d'alerte. Par exemple, si une nouvelle extension de fichier déclenche une alerte et que vous la signalez comme étant un faux positif, vous ne recevrez pas d'alerte la prochaine fois que le système détectera cette extension de fichier.
- Configurations non prises en charge
-
Les configurations suivantes ne prennent pas en charge l’utilisation d’ARP/AI.
-
Volumes NVMe
-
Volumes iSCSI avec des versions d'ONTAP antérieures à 9.17.1
-
Activer ARP/AI pour un système de fichiers ou un volume
L'activation d'ARP/AI pour un système de fichiers protège automatiquement tous les volumes NAS (NFS/SMB) existants et nouveaux. À partir d'ONTAP 9.17.1, cette fonctionnalité prend également en charge les volumes SAN (iSCSI). Vous pouvez également activer ARP/AI pour des volumes spécifiques.
Si ARP/AI détecte une attaque réelle après son activation, Workload Factory crée automatiquement une stratégie de snapshots. Cette stratégie peut créer jusqu'à six snapshots toutes les quatre heures. Chaque snapshot est verrouillé pendant 2 à 5 jours.
Pour activer ARP/AI pour un système de fichiers ou un volume, vous devez associer un lien. "Apprenez à associer un lien existant ou à créer et associer un nouveau lien" . Une fois le lien associé, revenez à cette opération.
-
Connectez-vous à l'aide de l'un des "expériences de la console".
-
Sélectionnez le menu
puis sélectionnez Stockage. -
Dans le menu Stockage, sélectionnez FSx pour ONTAP.
-
Depuis FSx for ONTAP, sélectionnez le menu d'actions du système de fichiers pour activer ARP/AI, puis sélectionnez Gérer.
-
Sous Informations, sélectionnez l’icône en forme de crayon à côté de Protection autonome contre les ransomwares. L'icône en forme de crayon apparaît à côté de la flèche lorsque la souris survole la ligne Protection autonome contre les ransomwares.
-
À partir de la page NetApp Autonomous Ransomware Protection with AI (ARP/AI), procédez comme suit :
-
Activer ou désactiver la fonctionnalité.
-
Création automatique d'instantanés : sélectionnez le nombre maximal d'instantanés à conserver et l'intervalle de temps entre la prise d'instantanés. La valeur par défaut est de 6 instantanés toutes les 4 heures.
-
Instantanés immuables : sélectionnez la période de conservation par défaut en heures et le nombre maximal de jours pendant lesquels conserver les instantanés immuables. Activez cette option pour garantir que les instantanés ne peuvent pas être supprimés ou modifiés jusqu'à la fin de la période de conservation spécifiée.
-
Détection : Vous pouvez également sélectionner l'un des paramètres suivants pour analyser et détecter automatiquement les anomalies.
-
-
Acceptez la déclaration pour continuer.
-
Sélectionnez appliquer pour enregistrer les modifications.
-
Connectez-vous à l'aide de l'un des "expériences de la console".
-
Sélectionnez le menu
puis sélectionnez Stockage. -
Dans le menu Stockage, sélectionnez FSx pour ONTAP.
-
Depuis FSx for ONTAP, sélectionnez le menu d'actions du système de fichiers pour activer ARP/AI, puis sélectionnez Gérer.
-
Dans l'onglet Volumes, sélectionnez le menu d'actions du volume pour activer ARP/AI, puis Actions de protection des données, puis Gérer ARP/AI.
-
Dans la boîte de dialogue Gérer ARP/AI, procédez comme suit :
-
Activer ou désactiver la fonctionnalité.
-
Détection : Vous pouvez également sélectionner l'un des paramètres suivants pour analyser et détecter automatiquement les anomalies.
-
-
Acceptez la déclaration pour continuer.
-
Sélectionnez appliquer pour enregistrer les modifications.
Validez les attaques par ransomware
Déterminez si une attaque est une fausse alarme ou un incident lié à un ransomware.
-
Connectez-vous à l'aide de l'un des "expériences de la console".
-
Sélectionnez le menu
puis sélectionnez Stockage. -
Dans le menu Stockage, sélectionnez FSx pour ONTAP.
-
Depuis FSx for ONTAP, sélectionnez le système de fichiers pour lequel valider les attaques de ransomware.
-
Dans la présentation du système de fichiers, sélectionnez l'onglet volumes.
-
Sélectionnez analyser les attaques dans la mosaïque protection anti-ransomware autonome.
-
Téléchargez le rapport des événements d'attaque pour vérifier si des fichiers ou des dossiers ont été compromis, puis déterminez si une attaque s'est produite.
-
Si aucune attaque n'est survenue, sélectionnez False Alarm pour le volume dans la table, puis sélectionnez Close
-
Si une attaque s'est produite, sélectionnez attaque réelle pour le volume dans la table. La boîte de dialogue Restaurer les données de volume compromises s'ouvre. Vous pouvez passer immédiatement à restaurer vos donnéesou sélectionner Fermer et revenir ultérieurement pour terminer le processus de récupération.
Restaurez vos données après une attaque par ransomware
Lorsque le système détecte une attaque potentielle, il crée et verrouille un instantané du volume à ce moment.
Si l'attaque est confirmée ultérieurement, vous pouvez restaurer les fichiers affectés ou l'intégralité du volume à partir de l'instantané.
Les instantanés verrouillés ne peuvent pas être supprimés avant l'expiration de la période de conservation. Si l'attaque est ensuite identifiée comme une fausse alerte, l'instantané verrouillé est supprimé.
Parce que le système identifie les fichiers affectés et l'heure de l'attaque, vous pouvez récupérer uniquement les fichiers affectés à partir des instantanés disponibles au lieu de restaurer l'intégralité du volume.
-
Connectez-vous à l'aide de l'un des "expériences de la console".
-
Sélectionnez le menu
puis sélectionnez Stockage. -
Dans le menu Stockage, sélectionnez FSx pour ONTAP.
-
Depuis FSx for ONTAP, sélectionnez le système de fichiers pour lequel récupérer les données.
-
Dans la présentation du système de fichiers, sélectionnez l'onglet volumes.
-
Sélectionnez analyser les attaques dans la mosaïque protection anti-ransomware autonome.
-
Si une attaque s'est produite, sélectionnez attaque réelle pour le volume dans la table.
-
Dans la boîte de dialogue Restaurer les données de volume compromises, suivez les instructions pour effectuer une restauration au niveau fichier ou au niveau du volume. Dans la plupart des cas, vous restaurez des fichiers plutôt qu'un volume entier.
-
Une fois la restauration terminée, sélectionnez Fermer.
Les données compromises ont été restaurées.