Integrazione con la protezione autonoma dai ransomware ONTAP
Suggerisci modifiche
PDF
La funzionalità ONTAP Autonomous Ransomware Protection (ARP) utilizza l'analisi del carico di lavoro negli ambienti NAS (NFS e SMB) per rilevare in modo proattivo e avvisare in caso di attività anomale nei file che potrebbero indicare un attacco ransomware.
Ulteriori dettagli e requisiti di licenza su ARP possono essere trovati"Qui" .
Workload Security si integra con ONTAP per ricevere eventi ARP e fornire un ulteriore livello di analisi e risposte automatiche.
Workload Security riceve gli eventi ARP da ONTAP ed esegue le seguenti azioni:
-
Correla gli eventi di crittografia del volume con l'attività dell'utente per identificare chi sta causando il danno.
-
Implementa politiche di risposta automatica (se definite)
-
Fornisce funzionalità forensi:
-
Consentire ai clienti di condurre indagini sulle violazioni dei dati.
-
Identificare i file interessati, contribuendo a un recupero più rapido e a condurre indagini sulle violazioni dei dati.
-
Prerequisiti
-
Versione minima ONTAP : 9.11.1
-
Volumi abilitati ARP. I dettagli sull'abilitazione di ARP possono essere trovati"Qui" . ARP deve essere abilitato tramite OnCommand System Manager. Workload Security non può abilitare ARP.
-
Il collettore di sicurezza del carico di lavoro deve essere aggiunto tramite l'IP del cluster.
-
Per il funzionamento di questa funzionalità sono necessarie le credenziali a livello di cluster. In altre parole, quando si aggiunge l'SVM è necessario utilizzare le credenziali a livello di cluster.
Autorizzazioni utente richieste
Se si utilizzano credenziali di amministrazione del cluster, non sono necessarie nuove autorizzazioni.
Se si utilizza un utente personalizzato (ad esempio, csuser) con autorizzazioni concesse all'utente, seguire i passaggi sottostanti per concedere a Workload Security le autorizzazioni per raccogliere informazioni relative ad ARP da ONTAP.
Per csuser con credenziali del cluster, procedere come segue dalla riga di comando ONTAP :
security login role create -role csrole -cmddirname "volume" -access readonly security login role create -role csrole -cmddirname "security anti-ransomware volume" -access readonly
Per saperne di più sulla configurazione di altri"Autorizzazioni ONTAP" .
Esempio di avviso
Di seguito è riportato un esempio di avviso generato a causa di un evento ARP:
Un banner di alta affidabilità indica che l'attacco ha mostrato un comportamento ransomware insieme ad attività di crittografia dei file. Il grafico dei file crittografati indica il timestamp in cui l'attività di crittografia del volume è stata rilevata dalla soluzione ARP.
Limitazioni
Nel caso in cui un SVM non sia monitorato da Workload Security, ma vi siano eventi ARP generati da ONTAP, gli eventi verranno comunque ricevuti e visualizzati da Workload Security. Tuttavia, le informazioni forensi relative all'avviso, così come la mappatura degli utenti, non verranno acquisite o mostrate.
Risoluzione dei problemi
Nella tabella seguente sono descritti i problemi noti e le relative soluzioni.
| Problema: | Risoluzione: |
|---|---|
Gli avvisi via e-mail vengono ricevuti 24 ore dopo il rilevamento di un attacco. Nell'interfaccia utente, gli avvisi vengono visualizzati 24 ore prima che le e-mail vengano ricevute da Data Infrastructure Insights Workload Security. |
Quando ONTAP invia l'evento Ransomware Detected a Data Infrastructure Insights Workload Security (ovvero Workload Security), l'e-mail viene inviata. L'evento contiene un elenco degli attacchi e i relativi timestamp. L'interfaccia utente di Workload Security visualizza il timestamp dell'avviso del primo file attaccato. ONTAP invia l'evento Ransomware Detected a Data Infrastructure Insights quando viene codificato un certo numero di file. Potrebbe quindi esserci una differenza tra l'orario in cui l'avviso viene visualizzato nell'interfaccia utente e l'orario in cui viene inviata l'e-mail. |