ONTAP Autonomous 랜섬웨어 Protection과 통합
ONTAP ARP(Autonomous 랜섬웨어 보호) 기능은 NAS(NFS 및 SMB) 환경에서 워크로드 분석을 사용하여 랜섬웨어 공격을 나타낼 수 있는 비정상적인 파일 내 작업을 사전에 감지하여 경고합니다.
ARP에 대한 추가 세부 정보 및 라이센스 요구 사항을 찾을 수 "여기"있습니다.
워크로드 보안은 ONTAP와 통합되어 ARP 이벤트를 수신하고 추가 분석 및 자동 응답 계층을 제공합니다.
워크로드 보안은 ONTAP에서 ARP 이벤트를 수신하고 다음 작업을 수행합니다.
-
볼륨 암호화 이벤트와 사용자 활동의 상관 관계를 분석하여 손상을 일으키는 원인을 식별합니다.
-
자동 응답 정책 구축(정의된 경우)
-
포렌식 기능 제공:
-
고객이 데이터 침해 조사를 수행할 수 있도록 허용합니다.
-
영향을 받은 파일을 파악하여 복구 시간을 단축하고 데이터 침해 조사를 수행할 수 있습니다.
-
필수 구성 요소
-
최소 ONTAP 버전: 9.11.1
-
ARP 사용 볼륨. ARP 활성화에 대한 세부 정보를 찾을 "여기"수 있습니다. ARP는 OnCommand 시스템 관리자를 통해 활성화해야 합니다. 워크로드 보안은 ARP를 활성화할 수 없습니다.
-
워크로드 보안 수집기는 클러스터 IP를 통해 추가해야 합니다.
-
이 기능을 사용하려면 클러스터 레벨 자격 증명이 필요합니다. 즉, SVM을 추가할 때 클러스터 레벨 자격 증명을 사용해야 합니다.
사용자 권한이 필요합니다
클러스터 관리 자격 증명을 사용하는 경우 새 권한이 필요하지 않습니다.
사용자에게 부여된 권한으로 사용자 지정 사용자(예: CsUser)를 사용하는 경우, 아래 단계를 따라 워크로드 보안에 권한을 부여하여 ONTAP에서 ARP 관련 정보를 수집합니다.
클러스터 자격 증명을 사용하여 _CsUser_의 경우 ONTAP 명령줄에서 다음을 수행합니다.
security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role arwrole
기타 구성에 대한 자세한 "ONTAP 권한"정보
샘플 알림
ARP 이벤트로 인해 생성된 샘플 경고는 다음과 같다.
고신뢰도 배너는 공격이 파일 암호화 활동과 함께 랜섬웨어 동작을 보여발생했음을 나타냅니다. 암호화된 파일 그래프는 ARP 솔루션이 볼륨 암호화 작업을 감지한 타임스탬프를 나타냅니다.
제한 사항
SVM이 워크로드 보안에 의해 모니터링되지 않지만 ONTAP에서 생성된 ARP 이벤트가 있는 경우, 해당 이벤트는 워크로드 보안에서 계속 수신되고 표시됩니다. 그러나 알림과 관련된 Forensic 정보 및 사용자 매핑은 캡처되거나 표시되지 않습니다.
문제 해결
알려진 문제와 해결 방법은 다음 표에 설명되어 있습니다.
문제: | 해상도: |
---|---|
공격이 감지된 후 24시간 이내에 이메일 경고가 수신됩니다. UI에 Data Infrastructure Insights 워크로드 보안이 이메일을 수신하기 24시간 전에 경고가 표시됩니다. |
ONTAP이 Data Infrastructure Insights 워크로드 보안(예: 워크로드 보안)으로 _ Ransomware detected_Event를 전송하면 이메일이 전송됩니다. 이벤트에는 공격 목록과 타임 스탬프가 포함됩니다. 워크로드 보안 UI는 첫 번째 공격 파일의 경고 타임스탬프를 표시합니다. ONTAP은 특정 개수의 파일이 인코딩될 때 _Ransomware Detected_Event를 데이터 인프라 인사이트 로 전송합니다. 따라서 알림이 UI에 표시되는 시간과 이메일을 보낸 시간 사이에 차이가 있을 수 있습니다. |