Integrazione con la protezione ransomware autonoma di ONTAP
La funzionalità ARP (Autonomous ransomware Protection) di ONTAP utilizza l'analisi dei carichi di lavoro in ambienti NAS (NFS e SMB) per rilevare e avvisare in modo proattivo circa attività anomale nel file che potrebbero indicare un attacco ransomware.
Ulteriori dettagli e requisiti di licenza su ARP sono disponibili "qui".
La sicurezza del carico di lavoro si integra con ONTAP per ricevere eventi ARP e fornire un ulteriore livello di analisi e risposte automatiche.
Workload Security riceve gli eventi ARP da ONTAP e intraprende le seguenti azioni:
-
Correla gli eventi di crittografia dei volumi con l'attività dell'utente per identificare chi sta causando il danno.
-
Implementa policy di risposta automatica (se definite)
-
Offre funzionalità di analisi legale:
-
Consentire ai clienti di condurre indagini sulle violazioni dei dati.
-
Identificare i file interessati, contribuendo a ripristinarli più rapidamente e a condurre indagini sulle violazioni dei dati.
-
Prerequisiti
-
Versione ONTAP minima: 9.11.1
-
Volumi abilitati ARP. È possibile trovare ulteriori informazioni sull'abilitazione di ARP "qui". ARP deve essere abilitato tramite Gestore di sistema di OnCommand. La sicurezza del carico di lavoro non può abilitare ARP.
-
Workload Security Collector deve essere aggiunto tramite l'IP del cluster.
-
Per il funzionamento di questa funzionalità sono necessarie credenziali a livello di cluster. In altre parole, è necessario utilizzare le credenziali a livello di cluster quando si aggiunge la SVM.
Autorizzazioni utente richieste
Se si utilizzano credenziali di amministrazione del cluster, non sono necessarie nuove autorizzazioni.
Se si utilizza un utente personalizzato (ad esempio, csuser) con autorizzazioni assegnate all'utente, seguire la procedura riportata di seguito per assegnare le autorizzazioni alla sicurezza del carico di lavoro per raccogliere informazioni relative all'ARP da ONTAP.
Per csuser con credenziali cluster, eseguire le seguenti operazioni dalla riga di comando ONTAP:
security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role arwrole
Ulteriori informazioni sulla configurazione di Altro "Permessi ONTAP".
Avviso di esempio
Di seguito è riportato un esempio di avviso generato a causa di un evento ARP:
Un banner di alta fiducia indica che l'attacco ha mostrato un comportamento ransomware insieme alle attività di crittografia dei file. Il grafico dei file crittografati indica la data e l'ora in cui l'attività di crittografia del volume è stata rilevata dalla soluzione ARP.
Limitazioni
Nel caso in cui una SVM non venga monitorata dalla sicurezza del carico di lavoro, ma vi siano eventi ARP generati da ONTAP, gli eventi verranno comunque ricevuti e visualizzati dalla sicurezza del carico di lavoro. Tuttavia, le informazioni Forensic relative all'avviso, così come la mappatura dell'utente, non verranno acquisite o visualizzate.
Risoluzione dei problemi
I problemi noti e le relative risoluzioni sono descritti nella seguente tabella.
Problema: | Risoluzione: |
---|---|
Gli avvisi e-mail vengono ricevuti 24 ore dopo il rilevamento di un attacco. Nell'interfaccia utente, gli avvisi vengono visualizzati 24 ore prima della ricezione delle e-mail da parte di Data Infrastructure Insights workload Security. |
Quando ONTAP invia l'evento ransomware rilevato alla sicurezza del carico di lavoro di Data Infrastructure Insights (ad es. Sicurezza del carico di lavoro), l'email viene inviata. L'evento contiene un elenco di attacchi e i relativi indicatori di data e ora. L'interfaccia utente di workload Security visualizza la data e l'ora di avviso del primo file attaccato. ONTAP invia l'evento ransomware Detected a informazioni sull'infrastruttura dati quando viene codificato un determinato numero di file. Pertanto, potrebbe esserci una differenza tra l'ora in cui l'avviso viene visualizzato nell'interfaccia utente e l'ora in cui l'e-mail viene inviata. |