본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

자율적 랜섬웨어 방어 공격 감지 매개 변수를 관리합니다

11/11/2024 기여자

ONTAP 9.11.1부터는 자율적 랜섬웨어 보호를 활성화하여 특정 볼륨에서 랜섬웨어 감지 매개 변수를 수정하고 알려진 서지를 일반 파일 활동으로 보고할 수 있습니다. 감지 매개 변수를 조정하면 특정 볼륨 작업량에 따라 보고의 정확도를 높일 수 있습니다.

공격 탐지 작동 방식

ARP(Autonomous Ransomware Protection)가 학습 모드에 있을 때 볼륨 행동에 대한 기준 값을 개발합니다. 엔트로피, 파일 확장자 및 ONTAP 9.11.1부터 IOPS가 지원됩니다. 이러한 기준선은 랜섬웨어 위협을 평가하는 데 사용됩니다. 이러한 조건에 대한 자세한 내용은 을 참조하십시오ARP가 감지하는 것.

ONTAP 9.10.1에서 ARP는 다음 조건을 모두 감지하면 경고를 발생시킵니다.

이전에 볼륨에서 관찰되지 않은 파일 확장명을 가진 20개 이상의 파일
높은 엔트로피 데이터

ONTAP 9.11.1부터 ARP는 _ONLY_ONLY_ONE 조건이 충족되면 위협 경고를 발생시킨다. 예를 들어, 이전에 볼륨에서 관찰되지 않은 파일 확장자를 가진 20개 이상의 파일이 24시간 내에 관찰되는 경우 ARP는 이를 관찰된 엔트로피의 위협_상관 없이_으로 분류합니다. 24시간 및 20파일 값은 기본값이며 수정할 수 있습니다.

위양성 경고의 수를 줄이려면 * 스토리지 > 볼륨 > 보안 > 워크로드 특성 구성 * 으로 이동하고 * 새로운 파일 유형 모니터링 * 을 비활성화합니다. 이 설정은 ONTAP 9.14.1 P7, 9.15.1 P1 및 9.16.1 RC 이상에서 기본적으로 비활성화되어 있습니다.

ONTAP 9.14.1부터 ARP가 새 파일 확장자를 관찰하고 ARP가 스냅샷을 생성할 때 경고를 구성할 수 있습니다. 자세한 내용은 을 [modify-alerts]참조하십시오.

특정 볼륨 및 워크로드에는 서로 다른 감지 매개 변수가 필요합니다. 예를 들어, ARP 지원 볼륨은 다양한 유형의 파일 확장자를 호스팅할 수 있습니다. 이 경우 이전에 보지 못한 파일 확장자의 임계값 수를 기본값인 20보다 큰 수로 수정하거나 이전에 보지 못한 파일 확장자를 기준으로 경고를 비활성화할 수 있습니다. ONTAP 9.11.1부터 공격 감지 매개 변수를 수정하여 특정 워크로드에 더 잘 맞출 수 있습니다.

공격 탐지 매개 변수를 수정합니다

ARP 가능 볼륨의 예상 동작에 따라 공격 감지 매개 변수를 수정할 수 있습니다.

단계

기존 공격 탐지 매개 변수 보기:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

표시된 모든 필드는 부울 또는 정수 값으로 수정할 수 있습니다. 필드를 수정하려면 을 사용합니다 security anti-ransomware volume attack-detection-parameters modify 명령.

매개 변수의 전체 목록은 을 참조하십시오 "ONTAP 명령 참조입니다".

알려진 서지를 보고합니다

ARP는 활성 모드에서도 감지 매개변수에 대한 기준 값을 계속 수정합니다. 부피 활동, 1회 서지 또는 새로운 정상의 특징인 서지 중 한 가지를 알고 있는 경우, 안전한 것으로 보고해야 합니다. 수동으로 이러한 서지를 안전한 것으로 보고하면 ARP의 위협 평가의 정확도를 높이는 데 도움이 됩니다.

일회성 급지를 보고합니다

알려진 상황에서 일회성 서지가 발생하고 향후 상황에서 ARP가 비슷한 서지를 보고하려면 워크로드 동작에서 서지를 지웁니다.

security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

기준선 서지 수정

보고된 서지가 정상적인 응용 프로그램 동작으로 간주되어야 하는 경우 서지를 보고하여 기준 서지 값을 수정합니다.

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

ARP 경고를 구성합니다

ONTAP 9.14.1부터 ARP를 사용하면 두 ARP 이벤트에 대한 경고를 지정할 수 있습니다.

볼륨에서 새 파일 확장명을 관찰합니다
ARP 스냅샷 생성

이러한 두 이벤트에 대한 경고는 개별 볼륨 또는 전체 SVM에 설정할 수 있습니다. SVM에 대해 경고를 활성화하면 알림을 사용하도록 설정한 후 생성된 볼륨에서만 경고 설정이 상속됩니다. 기본적으로 알림은 모든 볼륨에 대해 활성화되지 않습니다.

이벤트 경고는 다중 관리자 확인을 통해 제어할 수 있습니다. 자세한 내용은 을 참조하십시오 ARP로 보호되는 볼륨을 사용한 다중 관리자 검증.

시스템 관리자

볼륨에 대한 알림을 설정합니다

볼륨**으로 이동합니다. 설정을 수정할 개별 볼륨을 선택합니다.
보안 탭을 선택한 다음 이벤트 보안 설정** 을 선택합니다.
새 파일 확장명이 감지됨 및 랜섬웨어 스냅샷 생성됨 에 대한 알림을 받으려면 심각도 제목 아래의 드롭다운 메뉴를 선택합니다. 설정을 이벤트 생성 안 함에서 알림으로 수정합니다.
저장을 선택합니다.

SVM에 대한 알림 설정

스토리지 VM**으로 이동한 다음 설정을 활성화할 SVM을 선택합니다.
보안 제목 아래에서 안티 랜섬웨어 카드를 찾습니다. 그런 다음 랜섬웨어 이벤트 심각도 편집 을 선택합니다 .
새 파일 확장명이 감지됨 및 랜섬웨어 스냅샷 생성됨 에 대한 알림을 받으려면 심각도 제목 아래의 드롭다운 메뉴를 선택합니다. 설정을 이벤트 생성 안 함에서 알림으로 수정합니다.
저장을 선택합니다.

CLI를 참조하십시오