Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire i parametri di rilevamento degli attacchi tramite protezione autonoma dal ransomware

Collaboratori
PDF

A partire da ONTAP 9.11.1, puoi modificare i parametri per il rilevamento del ransomware su un volume abilitato alla protezione autonoma contro il ransomware specifico e segnalare un picco noto come normale attività dei file. La regolazione dei parametri di rilevamento consente di migliorare l'accuratezza dei rapporti in base al carico di lavoro del volume specifico.

Come funziona il rilevamento degli attacchi

Quando la protezione autonoma da ransomware (ARP) è in modalità di apprendimento, sviluppa valori di base per i comportamenti di volume. Si tratta di entropia, estensioni dei file e, a partire da ONTAP 9.11.1, IOPS. Queste baseline vengono utilizzate per valutare le minacce ransomware. Per ulteriori informazioni su questi criteri, vedere Cosa rileva ARP.

In ONTAP 9.10.1, ARP genera un avviso se rileva entrambe le seguenti condizioni:

  • più di 20 file con estensioni non precedentemente osservate nel volume

  • elevati dati di entropia

A partire da ONTAP 9.11.1, ARP emette un avviso di minaccia se solo viene soddisfatta una condizione. Ad esempio, se si osservano più di 20 file con estensioni che non sono state precedentemente osservate nel volume entro un periodo di 24 ore, ARP lo classificherà come una minaccia indipendentemente dall'entropia osservata. (I valori dei file 24 ore e 20 sono predefiniti, che possono essere modificati).

A partire da ONTAP 9.14.1, è possibile configurare gli avvisi quando ARP osserva una nuova estensione di file e quando ARP crea un'istantanea. Per ulteriori informazioni, vedere [modify-alerts]

Alcuni volumi e carichi di lavoro richiedono parametri di rilevamento diversi. Ad esempio, il volume abilitato per ARP può ospitare numerosi tipi di estensioni di file, nel qual caso è possibile modificare il conteggio delle soglie per le estensioni di file mai viste prima a un numero maggiore del valore predefinito di 20 o disattivare gli avvisi in base alle estensioni di file mai viste prima. A partire da ONTAP 9.11.1, puoi modificare i parametri di rilevamento degli attacchi per adattarli meglio ai tuoi carichi di lavoro specifici.

Modificare i parametri di rilevamento degli attacchi

A seconda dei comportamenti previsti del volume abilitato per ARP, è possibile modificare i parametri di rilevamento degli attacchi.

Fasi

  1. Visualizzare i parametri di rilevamento degli attacchi esistenti:

    security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name

    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

  2. Tutti i campi visualizzati sono modificabili con valori booleani o interi. Per modificare un campo, utilizzare security anti-ransomware volume attack-detection-parameters modify comando.

    Per un elenco completo dei parametri, vedere "Riferimento al comando ONTAP".

Segnalare le sovratensioni note

ARP continua a modificare i valori di base per i parametri di rilevamento anche in modalità attiva. Se conoscete i picchi nella vostra attività di volume—​o un aumento una volta o un aumento che è caratteristica di una nuova normale—​dovreste segnalarlo come sicuro. La segnalazione manuale di questi picchi come sicuri aiuta a migliorare l'accuratezza delle valutazioni delle minacce di ARP.

Segnalare un aumento di una tantum

  1. Se in circostanze note si verifica un picco una tantum e si desidera che ARP segnali un aumento simile in circostanze future, eliminare il picco dal comportamento del carico di lavoro:

    security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name

Modificare il picco della linea di base

  1. Se un picco segnalato deve essere considerato un normale comportamento dell'applicazione, riportare il picco in quanto tale per modificare il valore di picco della linea di base.

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name

Configurare gli avvisi ARP

A partire da ONTAP 9.14.1, ARP consente di specificare gli avvisi per due eventi ARP:

  • Osservazione della nuova estensione di un file su un volume

  • Creazione di un'istantanea ARP

È possibile impostare avvisi per questi due eventi su singoli volumi o per l'intera SVM. Se abiliti gli avvisi per la SVM, le impostazioni degli avvisi vengono ereditate solo dai volumi creati in seguito all'attivazione della funzione di avviso. Per impostazione predefinita, gli avvisi non sono attivati su alcun volume.

Gli avvisi di eventi possono essere controllati con verifica multi-admin. Per ulteriori informazioni, vedere Verifica multi-admin con volumi protetti con ARP.

System Manager
Impostare gli avvisi per un volume

  1. Passare a volumi. Selezionare il singolo volume per il quale si desidera modificare le impostazioni.

  2. Selezionare la scheda sicurezza, quindi Impostazioni protezione eventi.

  3. Per ricevere avvisi relativi a Nuova estensione rilevata e istantanea ransomware creata, selezionare il menu a discesa sotto l'intestazione gravità. Modificare l'impostazione da non generare evento a Avviso.

  4. Selezionare Salva.

Impostare gli avvisi per una SVM

  1. Accedere a Storage VM quindi selezionare la SVM per la quale si desidera abilitare le impostazioni.

  2. Sotto l'intestazione sicurezza, individuare la scheda Anti-ransomware. Selezionare tre punti Quindi Modifica gravità evento ransomware.

  3. Per ricevere avvisi relativi a Nuova estensione rilevata e istantanea ransomware creata, selezionare il menu a discesa sotto l'intestazione gravità. Modificare l'impostazione da non generare evento a Avviso.

  4. Selezionare Salva.

CLI
Impostare gli avvisi per un volume

  • Per impostare gli avvisi per una nuova estensione file:

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • Per impostare gli avvisi per la creazione di un'istantanea ARP:

    security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • Confermare le impostazioni con anti-ransomware volume event-log show comando.

Impostare gli avvisi per una SVM

  • Per impostare gli avvisi per una nuova estensione file:

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true

  • Per impostare gli avvisi per la creazione di un'istantanea ARP:

    security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true

  • Confermare le impostazioni con security anti-ransomware vserver event-log show comando.

Ulteriori informazioni