ONTAP 자율형 랜섬웨어 보호와 통합
변경 제안
PDF
ONTAP 자율형 랜섬웨어 보호(ARP) 기능은 NAS(NFS 및 SMB) 환경에서 워크로드 분석을 사용하여 랜섬웨어 공격을 나타낼 수 있는 비정상적인 파일 내 활동을 사전에 감지하고 경고합니다.
ARP에 대한 추가 세부 정보 및 라이센스 요구 사항은 다음과 같습니다."여기" .
Workload Security는 ONTAP 과 통합되어 ARP 이벤트를 수신하고 추가적인 분석 및 자동 응답 계층을 제공합니다.
Workload Security는 ONTAP 에서 ARP 이벤트를 수신하고 다음 작업을 수행합니다.
-
볼륨 암호화 이벤트와 사용자 활동을 연관시켜 피해를 일으키는 사람을 파악합니다.
-
자동 응답 정책을 구현합니다(정의된 경우)
-
포렌식 기능을 제공합니다:
-
고객이 데이터 침해에 대한 조사를 수행할 수 있도록 허용합니다.
-
영향을 받은 파일을 식별하여 더 빠른 복구와 데이터 침해 조사 수행에 도움이 됩니다.
-
필수 조건
-
최소 ONTAP 버전: 9.11.1
-
ARP가 활성화된 볼륨. ARP 활성화에 대한 자세한 내용은 다음을 참조하세요."여기" . ARP는 OnCommand System Manager 통해 활성화되어야 합니다. 워크로드 보안은 ARP를 활성화할 수 없습니다.
-
워크로드 보안 수집기는 클러스터 IP를 통해 추가해야 합니다.
-
이 기능을 사용하려면 클러스터 수준 자격 증명이 필요합니다. 즉, SVM을 추가할 때는 클러스터 수준 자격 증명을 사용해야 합니다.
사용자 권한이 필요합니다
클러스터 관리 자격 증명을 사용하는 경우 새로운 권한이 필요하지 않습니다.
사용자 지정 사용자(예: csuser)에게 권한이 부여된 경우 아래 단계에 따라 Workload Security에 ONTAP 에서 ARP 관련 정보를 수집할 수 있는 권한을 부여하세요.
클러스터 자격 증명이 있는 _csuser_의 경우 ONTAP 명령줄에서 다음을 수행합니다.
security login role create -role csrole -cmddirname "volume" -access readonly security login role create -role csrole -cmddirname "security anti-ransomware volume" -access readonly
다른 구성에 대해 자세히 알아보세요"ONTAP 권한" .
샘플 알림
ARP 이벤트로 인해 생성된 경고 샘플은 아래와 같습니다.
높은 신뢰도 배너는 공격에서 랜섬웨어 동작과 함께 파일 암호화 활동이 나타났음을 나타냅니다. 암호화된 파일 그래프는 ARP 솔루션이 볼륨 암호화 활동을 감지한 타임스탬프를 나타냅니다.
제한 사항
Workload Security에서 SVM을 모니터링하지 않지만 ONTAP 에서 ARP 이벤트를 생성한 경우 Workload Security에서 해당 이벤트를 계속 수신하여 표시합니다. 하지만 알림과 관련된 법의학적 정보와 사용자 매핑은 캡처되거나 표시되지 않습니다.
문제 해결
알려진 문제와 해결 방법은 다음 표에 설명되어 있습니다.
| 문제: | 해결: |
|---|---|
공격이 감지된 후 24시간 이내에 이메일 알림이 전송됩니다. UI에서는 Data Infrastructure Insights Workload Security에서 이메일을 수신하기 24시간 전에 알림이 표시됩니다. |
ONTAP 에서 랜섬웨어 감지 이벤트를 Data Infrastructure Insights Workload Security(즉, Workload Security)로 보내면 이메일이 전송됩니다. 이벤트에는 공격 목록과 타임스탬프가 포함되어 있습니다. 워크로드 보안 UI는 공격을 받은 첫 번째 파일의 경고 타임스탬프를 표시합니다. 특정 수의 파일이 인코딩되면 ONTAP 랜섬웨어 감지 이벤트를 Data Infrastructure Insights 로 보냅니다. 따라서 UI에 알림이 표시되는 시간과 이메일이 전송되는 시간 사이에 차이가 있을 수 있습니다. |