La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Integrazione con la protezione ransomware autonoma di ONTAP

03/12/2024 Collaboratori

PDF

Sommario

Prerequisiti
Autorizzazioni utente richieste
Avviso di esempio
Limitazioni
Risoluzione dei problemi

La funzionalità ARP (Autonomous ransomware Protection) di ONTAP utilizza l'analisi dei carichi di lavoro in ambienti NAS (NFS e SMB) per rilevare e avvisare in modo proattivo circa attività anomale nel file che potrebbero indicare un attacco ransomware.

Ulteriori dettagli e requisiti di licenza su ARP sono disponibili "qui".

La sicurezza del carico di lavoro si integra con ONTAP per ricevere eventi ARP e fornire un ulteriore livello di analisi e risposte automatiche.

Workload Security riceve gli eventi ARP da ONTAP e intraprende le seguenti azioni:

Correla gli eventi di crittografia dei volumi con l'attività dell'utente per identificare chi sta causando il danno.
Implementa policy di risposta automatica (se definite)
Offre funzionalità di analisi legale:
- Consentire ai clienti di condurre indagini sulle violazioni dei dati.
- Identificare i file interessati, contribuendo a ripristinarli più rapidamente e a condurre indagini sulle violazioni dei dati.

Prerequisiti

Versione minima di ONTAP: 9.11.1
Volumi abilitati ARP. Per ulteriori informazioni sull'abilitazione di ARP, consultare la sezione "qui". ARP deve essere abilitato tramite Gestore di sistema di OnCommand. La sicurezza del carico di lavoro non può abilitare ARP.
Workload Security Collector deve essere aggiunto tramite l'IP del cluster.
Per il funzionamento di questa funzionalità sono necessarie credenziali a livello di cluster. In altre parole, è necessario utilizzare le credenziali a livello di cluster quando si aggiunge la SVM.

Autorizzazioni utente richieste

Se si utilizzano credenziali di amministrazione del cluster, non sono necessarie nuove autorizzazioni.

Se si utilizza un utente personalizzato (ad esempio, csuser) con autorizzazioni assegnate all'utente, seguire la procedura riportata di seguito per assegnare le autorizzazioni alla sicurezza del carico di lavoro per raccogliere informazioni relative all'ARP da ONTAP.

Per csuser con credenziali cluster, eseguire le seguenti operazioni dalla riga di comando ONTAP:

security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name>
security login rest-role create -api /api/security/anti-ransomware -access readonly  -role arwrole -vserver <cluster_name>
security login create -user-or-group-name csuser -application http -authmethod password -role arwrole

Ulteriori informazioni sulla configurazione di Altro "Permessi ONTAP".

Avviso di esempio

Di seguito è riportato un esempio di avviso generato a causa di un evento ARP:

Ransomware Alert, sezione superiore

Un banner di alta fiducia indica che l'attacco ha mostrato un comportamento ransomware insieme alle attività di crittografia dei file. Il grafico dei file crittografati indica la data e l'ora in cui l'attività di crittografia del volume è stata rilevata dalla soluzione ARP.

Limitazioni

Nel caso in cui una SVM non venga monitorata dalla sicurezza del carico di lavoro, ma vi siano eventi ARP generati da ONTAP, gli eventi verranno comunque ricevuti e visualizzati dalla sicurezza del carico di lavoro. Tuttavia, le informazioni Forensic relative all'avviso, così come la mappatura dell'utente, non verranno acquisite o visualizzate.

Risoluzione dei problemi

I problemi noti e le relative risoluzioni sono descritti nella seguente tabella.

Problema:	Risoluzione:
Gli avvisi e-mail vengono ricevuti 24 ore dopo il rilevamento di un attacco. Nell'interfaccia utente, gli avvisi vengono visualizzati 24 ore prima quando le e-mail vengono ricevute da Cloud Insights workload Security.	Quando ONTAP invia l'evento ransomware Detected alla sicurezza del carico di lavoro Cloud Insights (ad esempio, sicurezza del carico di lavoro), l'e-mail viene inviata. L'evento contiene un elenco di attacchi e i relativi indicatori di data e ora. L'interfaccia utente di workload Security visualizza la data e l'ora di avviso del primo file attaccato. ONTAP invia l'evento ransomware Detected a Cloud Insights quando viene codificato un certo numero di file. Pertanto, potrebbe esserci una differenza tra l'ora in cui l'avviso viene visualizzato nell'interfaccia utente e l'ora in cui l'e-mail viene inviata.

Problema:

Risoluzione:

Gli avvisi e-mail vengono ricevuti 24 ore dopo il rilevamento di un attacco. Nell'interfaccia utente, gli avvisi vengono visualizzati 24 ore prima quando le e-mail vengono ricevute da Cloud Insights workload Security.

Quando ONTAP invia l'evento ransomware Detected alla sicurezza del carico di lavoro Cloud Insights (ad esempio, sicurezza del carico di lavoro), l'e-mail viene inviata. L'evento contiene un elenco di attacchi e i relativi indicatori di data e ora. L'interfaccia utente di workload Security visualizza la data e l'ora di avviso del primo file attaccato. ONTAP invia l'evento ransomware Detected a Cloud Insights quando viene codificato un certo numero di file. Pertanto, potrebbe esserci una differenza tra l'ora in cui l'avviso viene visualizzato nell'interfaccia utente e l'ora in cui l'e-mail viene inviata.