La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire i parametri di rilevamento degli attacchi tramite protezione autonoma dal ransomware

12/10/2024 Collaboratori

PDF

A partire da ONTAP 9.11,1, puoi modificare i parametri per il rilevamento del ransomware su un volume specifico con la protezione autonoma dal ransomware abilitata e segnalare un picco noto come normale attività dei file. La regolazione dei parametri di rilevamento consente di migliorare l'accuratezza dei rapporti in base al carico di lavoro del volume specifico.

Come funziona il rilevamento degli attacchi

Quando la protezione autonoma da ransomware (ARP) è in modalità di apprendimento, sviluppa valori di base per i comportamenti di volume. Si tratta di entropia, estensioni dei file e, a partire da ONTAP 9.11.1, IOPS. Queste baseline vengono utilizzate per valutare le minacce ransomware. Per ulteriori informazioni su questi criteri, vedere Che cosa rileva ARP.

In ONTAP 9.10.1, ARP genera un avviso se rileva entrambe le seguenti condizioni:

Più di 20 file con estensioni non precedentemente osservate nel volume
Elevati dati di entropia

A partire da ONTAP 9.11.1, ARP emette un avviso di minaccia se solo viene soddisfatta una condizione. Ad esempio, se si osservano più di 20 file con estensioni che non sono state precedentemente osservate nel volume entro un periodo di 24 ore, ARP lo classificherà come una minaccia indipendentemente dall'entropia osservata. I valori di 24 ore e 20 file sono predefiniti, che possono essere modificati.

Per ridurre un numero elevato di avvisi falsi positivi, andare a Storage > Volumes > Security > Configure workload Characteristics (archiviazione > volumi > sicurezza > Configura caratteristiche del carico di lavoro*) e disattivare Monitor new file types (monitora nuovi tipi di file*). Questa impostazione è disattivata per impostazione predefinita in ONTAP 9.14,1 P7, 9.15.1 P1 e 9.16.1 RC e versioni successive.

A partire da ONTAP 9.14,1, è possibile configurare gli avvisi quando ARP osserva una nuova estensione di file e quando ARP crea uno snapshot. Per ulteriori informazioni, vedere [modify-alerts].

Alcuni volumi e carichi di lavoro richiedono parametri di rilevamento diversi. Ad esempio, il volume abilitato per ARP può ospitare numerosi tipi di estensioni di file, nel qual caso è possibile modificare il conteggio delle soglie per le estensioni di file mai viste prima a un numero maggiore del valore predefinito di 20 o disattivare gli avvisi in base alle estensioni di file mai viste prima. A partire da ONTAP 9.11.1, puoi modificare i parametri di rilevamento degli attacchi per adattarli meglio ai tuoi carichi di lavoro specifici.

Modificare i parametri di rilevamento degli attacchi

A seconda dei comportamenti previsti del volume abilitato per ARP, è possibile modificare i parametri di rilevamento degli attacchi.

Fasi

Visualizzare i parametri di rilevamento degli attacchi esistenti:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

Tutti i campi visualizzati sono modificabili con valori booleani o interi. Per modificare un campo, utilizzare security anti-ransomware volume attack-detection-parameters modify comando.

Per ulteriori informazioni sui comandi descritti in questa procedura, consultare la "Riferimento al comando ONTAP".

Segnalare le sovratensioni note

ARP continua a modificare i valori di base per i parametri di rilevamento anche in modalità attiva. Se si conoscono picchi nell'attività di volume, picchi una tantum o picchi caratteristici di una nuova normalità, è necessario segnalarli come sicuri. La segnalazione manuale di questi picchi come sicuri aiuta a migliorare l'accuratezza delle valutazioni delle minacce di ARP.

Segnalare un picco una tantum

Se in circostanze note si verifica un picco una tantum e si desidera che ARP segnali un aumento simile in circostanze future, eliminare il picco dal comportamento del carico di lavoro:

security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

Modificare il picco della linea di base

Se un picco segnalato deve essere considerato un normale comportamento dell'applicazione, riportare il picco in quanto tale per modificare il valore di picco della linea di base.

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

Configurare gli avvisi ARP

A partire da ONTAP 9.14.1, ARP consente di specificare gli avvisi per due eventi ARP:

Osservazione della nuova estensione di un file su un volume
Creazione di uno snapshot ARP

È possibile impostare avvisi per questi due eventi su singoli volumi o per l'intera SVM. Se abiliti gli avvisi per la SVM, le impostazioni degli avvisi vengono ereditate solo dai volumi creati in seguito all'attivazione della funzione di avviso. Per impostazione predefinita, gli avvisi non sono attivati su alcun volume.

Gli avvisi di eventi possono essere controllati con verifica multi-admin. Per ulteriori informazioni, vedere Verifica multi-admin con volumi protetti con ARP.

System Manager

Impostare gli avvisi per un volume

Passare a volumi. Selezionare il singolo volume per il quale si desidera modificare le impostazioni.
Selezionare la scheda sicurezza, quindi Impostazioni protezione eventi.
Per ricevere avvisi relativi a Nuova estensione rilevata e istantanea ransomware creata, selezionare il menu a discesa sotto l'intestazione gravità. Modificare l'impostazione da non generare evento a Avviso.
Selezionare Salva.

Impostare gli avvisi per una SVM

Accedere a Storage VM quindi selezionare la SVM per la quale si desidera abilitare le impostazioni.
Sotto l'intestazione sicurezza, individuare la scheda Anti-ransomware. Selezionare quindi Modifica gravità evento ransomware.
Per ricevere avvisi relativi a Nuova estensione rilevata e istantanea ransomware creata, selezionare il menu a discesa sotto l'intestazione gravità. Modificare l'impostazione da non generare evento a Avviso.
Selezionare Salva.

CLI