자율적 랜섬웨어 방어 공격 감지 매개 변수를 관리합니다
-
이 문서 사이트의 PDF
-
볼륨 관리
- CLI를 통한 논리적 스토리지 관리
-
NAS 스토리지 관리
-
CLI를 사용하여 SMB를 관리합니다
- SMB를 사용하여 파일 액세스를 관리합니다
-
CLI를 사용하여 SMB를 관리합니다
- 보안 및 데이터 암호화
-
볼륨 관리
별도의 PDF 문서 모음
Creating your file...
ONTAP 9.11.1부터는 특정 자율 랜섬웨어 차단 지원 볼륨에서 랜섬웨어 감지 매개 변수를 수정하고 알려진 서지(surge)를 일반 파일 활동으로 보고할 수 있습니다. 감지 매개 변수를 조정하면 특정 볼륨 작업량에 따라 보고의 정확도를 높일 수 있습니다.
공격 탐지 작동 방식
ARP(Autonomous Ransomware Protection)가 학습 모드에 있을 때 볼륨 행동에 대한 기준 값을 개발합니다. 엔트로피, 파일 확장자 및 ONTAP 9.11.1부터 IOPS가 지원됩니다. 이러한 기준선은 랜섬웨어 위협을 평가하는 데 사용됩니다. 이러한 조건에 대한 자세한 내용은 을 참조하십시오 ARP가 감지하는 것.
ONTAP 9.10.1에서 ARP는 다음 조건을 모두 감지하면 경고를 발생시킵니다.
-
이전에 볼륨에서 관찰되지 않은 파일 확장명을 가진 20개 이상의 파일
-
높은 엔트로피 데이터
ONTAP 9.11.1부터 ARP는 _ONLY_ONLY_ONE 조건이 충족되면 위협 경고를 발생시킨다. 예를 들어, 이전에 볼륨에서 관찰되지 않은 파일 확장자를 가진 20개 이상의 파일이 24시간 내에 관찰되는 경우 ARP는 이를 관찰된 엔트로피의 위협_무관_으로 분류합니다. (24시간 및 20개의 파일 값은 기본값이며 수정할 수 있습니다.)
ONTAP 9.14.1부터 ARP가 새 파일 확장자를 관찰하고 ARP가 스냅샷을 생성할 때 경고를 구성할 수 있습니다. 자세한 내용은 을 참조하십시오 [modify-alerts]
특정 볼륨 및 워크로드에는 서로 다른 감지 매개 변수가 필요합니다. 예를 들어, ARP 지원 볼륨은 다양한 유형의 파일 확장자를 호스팅할 수 있습니다. 이 경우 이전에 보지 못한 파일 확장자의 임계값 수를 기본값인 20보다 큰 수로 수정하거나 이전에 보지 못한 파일 확장자를 기준으로 경고를 비활성화할 수 있습니다. ONTAP 9.11.1부터 공격 감지 매개 변수를 수정하여 특정 워크로드에 더 잘 맞출 수 있습니다.
공격 탐지 매개 변수를 수정합니다
ARP 가능 볼륨의 예상 동작에 따라 공격 감지 매개 변수를 수정할 수 있습니다.
-
기존 공격 탐지 매개 변수 보기:
security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name
security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1 Vserver Name : vs1 Volume Name : vol1 Is Detection Based on High Entropy Data Rate? : true Is Detection Based on Never Seen before File Extension? : true Is Detection Based on File Create Rate? : true Is Detection Based on File Rename Rate? : true Is Detection Based on File Delete Rate? : true Is Detection Relaxing Popular File Extensions? : true High Entropy Data Surge Notify Percentage : 100 File Create Rate Surge Notify Percentage : 100 File Rename Rate Surge Notify Percentage : 100 File Delete Rate Surge Notify Percentage : 100 Never Seen before File Extensions Count Notify Threshold : 20 Never Seen before File Extensions Duration in Hour : 24
-
표시된 모든 필드는 부울 또는 정수 값으로 수정할 수 있습니다. 필드를 수정하려면 을 사용합니다
security anti-ransomware volume attack-detection-parameters modify
명령.매개 변수의 전체 목록은 을 참조하십시오 "ONTAP 명령 참조입니다".
알려진 서지를 보고합니다
ARP는 활성 모드에서도 감지 매개변수에 대한 기준 값을 계속 수정합니다. 볼륨 활동(1회성 서지 또는 새로운 정상성의 특징인 서지)의 급증을 알면 안전한 것으로 보고해야 합니다. 수동으로 이러한 서지를 안전한 것으로 보고하면 ARP의 위협 평가의 정확도를 높이는 데 도움이 됩니다.
-
알려진 상황에서 일회성 서지가 발생하고 향후 상황에서 ARP가 비슷한 서지를 보고하려면 워크로드 동작에서 서지를 지웁니다.
security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name
-
보고된 서지가 정상적인 응용 프로그램 동작으로 간주되어야 하는 경우 서지를 보고하여 기준 서지 값을 수정합니다.
security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name
ARP 경고를 구성합니다
ONTAP 9.14.1부터 ARP를 사용하면 두 ARP 이벤트에 대한 경고를 지정할 수 있습니다.
-
볼륨에서 새 파일 확장명을 관찰합니다
-
ARP 스냅샷 생성
이러한 두 이벤트에 대한 경고는 개별 볼륨 또는 전체 SVM에 설정할 수 있습니다. SVM에 대해 경고를 활성화하면 알림을 사용하도록 설정한 후 생성된 볼륨에서만 경고 설정이 상속됩니다. 기본적으로 알림은 모든 볼륨에 대해 활성화되지 않습니다.
이벤트 경고는 다중 관리자 확인을 통해 제어할 수 있습니다. 자세한 내용은 을 참조하십시오 ARP로 보호되는 볼륨을 사용한 다중 관리자 검증.
-
볼륨**으로 이동합니다. 설정을 수정할 개별 볼륨을 선택합니다.
-
보안 탭을 선택한 다음 이벤트 보안 설정** 을 선택합니다.
-
새 파일 확장명이 감지됨 및 랜섬웨어 스냅샷 생성됨 에 대한 알림을 받으려면 심각도 제목 아래의 드롭다운 메뉴를 선택합니다. 설정을 이벤트 생성 안 함에서 알림으로 수정합니다.
-
저장을 선택합니다.
-
스토리지 VM**으로 이동한 다음 설정을 활성화할 SVM을 선택합니다.
-
보안 제목 아래에서 안티 랜섬웨어 카드를 찾습니다. 를 선택합니다 그런 다음 랜섬웨어 이벤트 심각도 편집.
-
새 파일 확장명이 감지됨 및 랜섬웨어 스냅샷 생성됨 에 대한 알림을 받으려면 심각도 제목 아래의 드롭다운 메뉴를 선택합니다. 설정을 이벤트 생성 안 함에서 알림으로 수정합니다.
-
저장을 선택합니다.
-
새 파일 확장자에 대한 알림을 설정하려면 다음을 수행합니다.
security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true
-
ARP 스냅샷 생성을 위한 경고를 설정하려면:
security anti-ransomware volume event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true
-
를 사용하여 설정을 확인합니다
anti-ransomware volume event-log show
명령.
-
새 파일 확장자에 대한 알림을 설정하려면 다음을 수행합니다.
security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-new-file-extension-seen true
-
ARP 스냅샷 생성을 위한 경고를 설정하려면:
security anti-ransomware vserver event-log modify -vserver svm_name -is-enabled-on-snapshot-copy-creation true
-
를 사용하여 설정을 확인합니다
security anti-ransomware vserver event-log show
명령.