La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire i parametri di rilevamento degli attacchi alla protezione autonoma dal ransomware di ONTAP

08/04/2025 Collaboratori

PDF

A partire da ONTAP 9.11.1, puoi modificare i parametri per il rilevamento del ransomware su un volume specifico con la protezione autonoma dal ransomware abilitata e segnalare un picco noto come normale attività dei file. La regolazione dei parametri di rilevamento consente di migliorare l'accuratezza dei rapporti in base al carico di lavoro del volume specifico.

Come funziona il rilevamento degli attacchi

Quando Autonomous Ransomware Protection (ARP) è in modalità di apprendimento o valutazione, sviluppa valori di base per i comportamenti dei volumi. Questi includono entropia, estensioni dei file e, a partire da ONTAP 9.11.1, IOPS. Questi valori di base vengono utilizzati per valutare le minacce ransomware. Per ulteriori informazioni su questi criteri, consultare "Che cosa rileva ARP" .

Alcuni volumi e carichi di lavoro richiedono parametri di rilevamento diversi. Ad esempio, il volume abilitato per ARP può ospitare numerosi tipi di estensioni di file, nel qual caso è possibile modificare il conteggio delle soglie per le estensioni di file mai viste prima a un numero maggiore del valore predefinito di 20 o disattivare gli avvisi in base alle estensioni di file mai viste prima. A partire da ONTAP 9.11.1, puoi modificare i parametri di rilevamento degli attacchi per adattarli meglio ai tuoi carichi di lavoro specifici.

A partire da ONTAP 9.14.1, è possibile configurare gli avvisi quando ARP osserva una nuova estensione di file e quando ARP crea uno snapshot. Per ulteriori informazioni, vedere [modify-alerts].

Rilevamento degli attacchi negli ambienti NAS

In ONTAP 9.10.1, ARP genera un avviso se rileva entrambe le seguenti condizioni:

Più di 20 file con estensioni non precedentemente osservate nel volume
Elevati dati di entropia

A partire da ONTAP 9.11.1, ARP emette un avviso di minaccia se solo viene soddisfatta una condizione. Ad esempio, se si osservano più di 20 file con estensioni che non sono state precedentemente osservate nel volume entro un periodo di 24 ore, ARP lo classificherà come una minaccia indipendentemente dall'entropia osservata. I valori di 24 ore e 20 file sono predefiniti, che possono essere modificati.

Per ridurre l'elevato numero di falsi positivi, accedere a Archiviazione > Volumi > Sicurezza > Configura caratteristiche carico di lavoro e disattivare Monitoraggio nuovi tipi di file. Questa impostazione è disattivata per impostazione predefinita in ONTAP 9.14.1 P7, 9.15.1 P1, 9.16.1 e versioni successive.

Rilevamento degli attacchi in ambienti SAN

A partire da ONTAP 9.17.1, ARP emette un avviso se rileva velocità di crittografia elevate che superano una soglia appresa automaticamente. Questa soglia viene stabilita dopo un "periodo di valutazione" ma può essere modificato.

Modificare i parametri di rilevamento degli attacchi

A seconda del comportamento previsto del volume abilitato per ARP, potrebbe essere necessario modificare i parametri di rilevamento degli attacchi.

Fasi

Visualizzare i parametri di rilevamento degli attacchi esistenti:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
           Block Device Auto Learned Encryption Threshold : 10
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

Tutti i campi mostrati sono modificabili con valori booleani o interi. Per modificare un campo, utilizzare il security anti-ransomware volume attack-detection-parameters modify comando.

Ulteriori informazioni su security anti-ransomware volume attack-detection-parameters modify nella "Riferimento al comando ONTAP".

Segnalare le sovratensioni note

ARP continua a modificare i valori di base per i parametri di rilevamento anche quando è attivo. Se si conoscono picchi nell'attività di volume, picchi una tantum o picchi caratteristici di una nuova normalità, è necessario segnalarli come sicuri. La segnalazione manuale di questi picchi come sicuri aiuta a migliorare l'accuratezza delle valutazioni delle minacce di ARP.

Segnalare un picco una tantum

Se in circostanze note si verifica un picco una tantum e si desidera che ARP segnali un aumento simile in circostanze future, eliminare il picco dal comportamento del carico di lavoro:

security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

Ulteriori informazioni su security anti-ransomware volume workload-behavior clear-surge nella "Riferimento al comando ONTAP".

Modificare il picco della linea di base

Se un picco segnalato deve essere considerato un normale comportamento dell'applicazione, riportare il picco in quanto tale per modificare il valore di picco della linea di base.

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

Scopri di più su security anti-ransomware volume workload-behavior update-baseline-from-surge nel "Riferimento al comando ONTAP" .

Configurare gli avvisi ARP

A partire da ONTAP 9.14.1, ARP consente di specificare gli avvisi per due eventi ARP:

Osservazione della nuova estensione di un file su un volume
Creazione di uno snapshot ARP

È possibile impostare avvisi per questi due eventi su singoli volumi o per l'intera SVM. Se abiliti gli avvisi per la SVM, le impostazioni degli avvisi vengono ereditate solo dai volumi creati in seguito all'attivazione della funzione di avviso. Per impostazione predefinita, gli avvisi non sono attivati su alcun volume.

Gli avvisi sugli eventi possono essere controllati tramite la verifica multi-amministratore. Per ulteriori informazioni, consultare "Verifica multi-admin con volumi protetti con ARP" .

Fasi

È possibile utilizzare System Manager o ONTAP CLI per impostare avvisi per eventi ARP.

System Manager

Impostare gli avvisi per un volume

Vai a Volumi. Seleziona il singolo volume di cui desideri modificare le impostazioni.
Selezionare la scheda Sicurezza, quindi Impostazioni gravità evento.
Per ricevere avvisi per Nuova estensione file rilevata e Creazione snapshot ransomware, seleziona il menu a discesa sotto la voce Gravità. Modifica l'impostazione da Non generare evento a Avviso.
Selezionare Salva.

Impostare gli avvisi per una SVM

Passare a Storage VM, quindi selezionare la SVM per la quale si desidera abilitare le impostazioni.
Sotto la voce Sicurezza, individua la scheda Anti-ransomware. Seleziona quindi Modifica gravità evento ransomware.
Per ricevere avvisi per Nuova estensione file rilevata e Creazione snapshot ransomware, seleziona il menu a discesa sotto la voce Gravità. Modifica l'impostazione da Non generare evento a Avviso.
Selezionare Salva.

CLI