Skip to main content
Amazon FSx for NetApp ONTAP
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Proteggi i tuoi dati con la protezione autonoma dai ransomware NetApp con intelligenza artificiale

Collaboratori netapp-rlithman
PDF

Proteggi i tuoi dati con NetApp Autonomous Ransomware Protection con AI (ARP/AI), una funzionalità che utilizza l'analisi del carico di lavoro negli ambienti NAS (NFS/SMB) per rilevare e avvisare in caso di attività anomale che potrebbero essere un attacco ransomware. Quando si sospetta un attacco, ARP/AI crea anche nuovi snapshot immutabili dai quali è possibile ripristinare i dati.

A proposito di questa attività

Utilizzare ARP/AI per proteggersi dagli attacchi denial-of-service, in cui l'aggressore trattiene i dati finché non viene pagato un riscatto. ARP/AI offre il rilevamento ransomware in tempo reale basato su:

  • Identificazione dei dati in entrata come crittografati o non crittografati.

  • Analisi che rilevano:

    • Entropia: Una valutazione della casualità dei dati in un file

    • Tipi di estensione del file: Un'estensione non conforme al normale tipo di estensione

    • IOPS dei file: Un picco nell'attività anomala dei volumi con crittografia dei dati

ARP/AI è in grado di rilevare la diffusione della maggior parte degli attacchi ransomware dopo che è stato crittografato solo un numero limitato di file, di intervenire automaticamente per proteggere i dati e di avvisare l'utente che si sta verificando un sospetto attacco.

La funzionalità ARP/AI si aggiorna automaticamente in base alla versione di ONTAP eseguita Amazon FSx for NetApp ONTAP, così non è necessario effettuare aggiornamenti manuali.

Modalità di apprendimento e attive

ARP/AI opera prima in modalità di apprendimento e poi passa automaticamente in modalità attiva.

  • Modalità di apprendimento: quando si abilita ARP/AI, viene eseguito in modalità di apprendimento. In modalità di apprendimento, il file system FSx for ONTAP sviluppa un profilo di avviso basato sulle aree analitiche: entropia, tipi di estensione file e IOPS file. Dopo che il file system esegue ARP/AI in modalità di apprendimento per un tempo sufficiente a valutare le caratteristiche del carico di lavoro, Workload Factory passa automaticamente ad ARP/AI in modalità attiva e inizia a proteggere i dati.

  • Modalità attiva: dopo che ARP/AI passa alla modalità attiva, FSx for ONTAP crea snapshot ARP/AI per proteggere i dati se viene rilevata una minaccia.

    In modalità attiva, se un'estensione del file è contrassegnata come anomala, è necessario valutare l'avviso. Puoi agire sull'avviso per proteggere i tuoi dati o contrassegnarlo come falso positivo. Se si contrassegna un avviso come falso positivo, il profilo di avviso viene aggiornato. Ad esempio, se l'avviso viene attivato da una nuova estensione di file e l'utente contrassegna l'avviso come falso positivo, non verrà visualizzato alcun avviso alla successiva visualizzazione dell'estensione del file.

Configurazioni non supportate

Le seguenti configurazioni non supportano l'uso di ARP/AI.

  • Volumi SAN/blocchi

  • Volumi iSCSI

  • Volumi NVMe

Abilita ARP/AI per un file system o un volume

L'abilitazione di ARP/AI per un file system aggiunge automaticamente la protezione a tutti i volumi NAS esistenti e ai volumi NAS (NFS/SMB) appena creati. È anche possibile abilitare ARP/AI per singoli volumi.

Dopo aver abilitato ARP/AI, se si verifica un attacco e si identifica che è reale, Workload Factory imposta automaticamente una policy di snapshot che esegue fino a sei snapshot ogni quattro ore. Ogni snapshot viene bloccato per 2-5 giorni.

Prima di iniziare

Per abilitare ARP/AI per un file system o un volume, è necessario associare un collegamento. "Scopri come associare un collegamento esistente o come creare e associare un nuovo collegamento" . Dopo aver associato il collegamento, tornare a questa operazione.

Abilita ARP/AI per un file system
Fasi

  1. Accedere utilizzando uno dei "esperienze di console".

  2. Nella memoria, selezionare Vai all'inventario di archiviazione.

  3. Nella scheda FSx per ONTAP, selezionare il menu a tre punti del file system per abilitare ARP/AI, quindi selezionare Gestisci.

  4. In Informazioni, seleziona l'icona della matita accanto a Protezione autonoma da ransomware. L'icona della matita appare accanto alla freccia quando il mouse passa sopra la riga Protezione autonoma dal ransomware.

  5. Dalla pagina NetApp Autonomous Ransomware Protection with AI (ARP/AI), procedere come segue:

    1. Abilita o disabilita la funzionalità.

    2. Creazione automatica di snapshot: seleziona il numero massimo di snapshot da conservare e l'intervallo di tempo tra un'acquisizione e l'altra. L'impostazione predefinita è 6 snapshot ogni 4 ore.

    3. Snapshot immutabili: seleziona il periodo di conservazione predefinito in ore e il numero massimo di giorni per conservare gli snapshot immutabili. Abilitare questa opzione per garantire che gli snapshot non possano essere eliminati o modificati fino al termine del periodo di conservazione specificato.

    4. Rilevamento: facoltativamente, seleziona uno qualsiasi dei seguenti parametri per eseguire automaticamente la scansione e rilevare le anomalie.

  6. Accettare la dichiarazione per procedere.

  7. Selezionare Applica per salvare le modifiche.

Abilita ARP/AI per un volume
Fasi

  1. Accedere utilizzando uno dei "esperienze di console".

  2. Nella memoria, selezionare Vai all'inventario di archiviazione.

  3. Nella scheda FSx per ONTAP, selezionare il menu a tre punti del file system per abilitare ARP/AI, quindi selezionare Gestisci.

  4. Dalla scheda Volumi, seleziona il menu a tre punti del volume per abilitare ARP/AI, quindi Azioni di protezione dati e infine Gestisci ARP/AI.

  5. Nella finestra di dialogo Gestisci ARP/AI, procedere come segue:

    1. Abilita o disabilita la funzionalità.

    2. Rilevamento: facoltativamente, seleziona uno qualsiasi dei seguenti parametri per eseguire automaticamente la scansione e rilevare le anomalie.

  6. Accettare la dichiarazione per procedere.

  7. Selezionare Applica per salvare le modifiche.

Convalida degli attacchi ransomware

Determinare se un attacco è un falso allarme o un incidente ransomware autentico.

Fasi

  1. Accedere utilizzando uno dei "esperienze di console".

  2. Nella memoria, selezionare Vai all'inventario di archiviazione.

  3. Nella panoramica del file system, selezionare la scheda volumi.

  4. Seleziona analizza attacchi dal riquadro Autonomous ransomware Protection.

  5. Scarica il report sugli eventi di attacco per verificare se alcuni file o cartelle sono stati compromessi e decidere se si è verificato un attacco.

  6. Se non si è verificato alcun attacco, selezionare Falso allarme per il volume nella tabella, quindi selezionare Chiudi

  7. Se si è verificato un attacco, selezionare attacco reale per il volume nella tabella. Viene visualizzata la finestra di dialogo Ripristina dati volume compromessi. È possibile procedere immediatamente a oppure selezionare Chiudi e tornare a ripristina i tuoi daticompletare il processo di ripristino in un secondo momento.

Recuperare i dati dopo un attacco ransomware

Quando si sospetta un attacco, il sistema esegue un'istantanea del volume in quel momento e blocca tale copia. Se l'attacco viene confermato in un secondo momento, i file interessati o l'intero volume possono essere ripristinati utilizzando lo snapshot ARP/AI.

Gli snapshot bloccati non possono essere eliminati fino al termine del periodo di conservazione. Tuttavia, se in seguito decidi di contrassegnare l'attacco come falso positivo, la copia bloccata verrà eliminata.

Conoscendo i file interessati e il momento dell'attacco, è possibile recuperare in modo selettivo i file interessati da vari snapshot, anziché semplicemente riportare l'intero volume in uno degli snapshot.

Fasi

  1. Accedere utilizzando uno dei "esperienze di console".

  2. Nella memoria, selezionare Vai all'inventario di archiviazione.

  3. Nella panoramica del file system, selezionare la scheda volumi.

  4. Seleziona analizza attacchi dal riquadro Autonomous ransomware Protection.

  5. Se si è verificato un attacco, selezionare attacco reale per il volume nella tabella.

  6. Nella finestra di dialogo Ripristina dati volume compromessi, seguire le istruzioni per eseguire il ripristino a livello di file o a livello di volume. Nella maggior parte dei casi, i file vengono ripristinati piuttosto che in un intero volume.

  7. Dopo aver completato il ripristino, selezionare Chiudi.

Risultato

I dati compromessi sono stati ripristinati.