본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

자율적 랜섬웨어 방어 공격 감지 매개 변수를 관리합니다

12/19/2023 기여자

ONTAP 9.11.1부터는 특정 자율 랜섬웨어 차단 지원 볼륨에서 랜섬웨어 감지 매개 변수를 수정하고 알려진 서지(surge)를 일반 파일 활동으로 보고할 수 있습니다. 감지 매개 변수를 조정하면 특정 볼륨 작업량에 따라 보고의 정확도를 높일 수 있습니다.

공격 탐지 작동 방식

ARP(Autonomous Ransomware Protection)가 학습 모드에 있을 때 볼륨 행동에 대한 기준 값을 개발합니다. 엔트로피, 파일 확장자 및 ONTAP 9.11.1부터 IOPS가 지원됩니다. 이러한 기준선은 랜섬웨어 위협을 평가하는 데 사용됩니다. 이러한 조건에 대한 자세한 내용은 을 참조하십시오 ARP가 감지하는 것.

ONTAP 9.10.1에서 ARP는 다음 조건을 모두 감지하면 경고를 발생시킵니다.

이전에 볼륨에서 관찰되지 않은 파일 확장명을 가진 20개 이상의 파일
높은 엔트로피 데이터

ONTAP 9.11.1부터 ARP는 _ONLY_ONLY_ONE 조건이 충족되면 위협 경고를 발생시킨다. 예를 들어, 이전에 볼륨에서 관찰되지 않은 파일 확장자를 가진 20개 이상의 파일이 24시간 내에 관찰되는 경우 ARP는 이를 관찰된 엔트로피의 위협_무관_으로 분류합니다. (24시간 및 20개의 파일 값은 기본값이며 수정할 수 있습니다.)

ONTAP 9.14.1부터 ARP가 새 파일 확장자를 관찰하고 ARP가 스냅샷을 생성할 때 경고를 구성할 수 있습니다. 자세한 내용은 을 참조하십시오 [modify-alerts]

특정 볼륨 및 워크로드에는 서로 다른 감지 매개 변수가 필요합니다. 예를 들어, ARP 지원 볼륨은 다양한 유형의 파일 확장자를 호스팅할 수 있습니다. 이 경우 이전에 보지 못한 파일 확장자의 임계값 수를 기본값인 20보다 큰 수로 수정하거나 이전에 보지 못한 파일 확장자를 기준으로 경고를 비활성화할 수 있습니다. ONTAP 9.11.1부터 공격 감지 매개 변수를 수정하여 특정 워크로드에 더 잘 맞출 수 있습니다.

공격 탐지 매개 변수를 수정합니다

ARP 가능 볼륨의 예상 동작에 따라 공격 감지 매개 변수를 수정할 수 있습니다.

단계

기존 공격 탐지 매개 변수 보기:

security anti-ransomware volume attack-detection-parameters show -vserver svm_name -volume volume_name

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

표시된 모든 필드는 부울 또는 정수 값으로 수정할 수 있습니다. 필드를 수정하려면 을 사용합니다 security anti-ransomware volume attack-detection-parameters modify 명령.

매개 변수의 전체 목록은 을 참조하십시오 "ONTAP 명령 참조입니다".

알려진 서지를 보고합니다

ARP는 활성 모드에서도 감지 매개변수에 대한 기준 값을 계속 수정합니다. 볼륨 활동(1회성 서지 또는 새로운 정상성의 특징인 서지)의 급증을 알면 안전한 것으로 보고해야 합니다. 수동으로 이러한 서지를 안전한 것으로 보고하면 ARP의 위협 평가의 정확도를 높이는 데 도움이 됩니다.

일회성 급증을 보고합니다

알려진 상황에서 일회성 서지가 발생하고 향후 상황에서 ARP가 비슷한 서지를 보고하려면 워크로드 동작에서 서지를 지웁니다.

security anti-ransomware volume workload-behavior clear-surge -vserver svm_name -volume volume_name

기준선 서지 수정

보고된 서지가 정상적인 응용 프로그램 동작으로 간주되어야 하는 경우 서지를 보고하여 기준 서지 값을 수정합니다.

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver svm_name -volume volume_name

ARP 경고를 구성합니다

ONTAP 9.14.1부터 ARP를 사용하면 두 ARP 이벤트에 대한 경고를 지정할 수 있습니다.

볼륨에서 새 파일 확장명을 관찰합니다
ARP 스냅샷 생성

이러한 두 이벤트에 대한 경고는 개별 볼륨 또는 전체 SVM에 설정할 수 있습니다. SVM에 대해 경고를 활성화하면 알림을 사용하도록 설정한 후 생성된 볼륨에서만 경고 설정이 상속됩니다. 기본적으로 알림은 모든 볼륨에 대해 활성화되지 않습니다.

이벤트 경고는 다중 관리자 확인을 통해 제어할 수 있습니다. 자세한 내용은 을 참조하십시오 ARP로 보호되는 볼륨을 사용한 다중 관리자 검증.

시스템 관리자

볼륨에 대한 알림을 설정합니다

볼륨**으로 이동합니다. 설정을 수정할 개별 볼륨을 선택합니다.
보안 탭을 선택한 다음 이벤트 보안 설정** 을 선택합니다.
새 파일 확장명이 감지됨 및 랜섬웨어 스냅샷 생성됨 에 대한 알림을 받으려면 심각도 제목 아래의 드롭다운 메뉴를 선택합니다. 설정을 이벤트 생성 안 함에서 알림으로 수정합니다.
저장을 선택합니다.

SVM에 대한 알림 설정

스토리지 VM**으로 이동한 다음 설정을 활성화할 SVM을 선택합니다.
보안 제목 아래에서 안티 랜섬웨어 카드를 찾습니다. 를 선택합니다 그런 다음 랜섬웨어 이벤트 심각도 편집.
새 파일 확장명이 감지됨 및 랜섬웨어 스냅샷 생성됨 에 대한 알림을 받으려면 심각도 제목 아래의 드롭다운 메뉴를 선택합니다. 설정을 이벤트 생성 안 함에서 알림으로 수정합니다.
저장을 선택합니다.

CLI를 참조하십시오