Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 자율적 랜섬웨어 방어 공격 감지 매개 변수를 관리합니다

기여자 netapp-ahibbard netapp-dbagwell netapp-aaron-holt netapp-aherbin
PDF

ONTAP 9.11.1부터 자율적 랜섬웨어 방어를 활성화하여 특정 볼륨에서 랜섬웨어 감지 매개 변수를 수정하고 알려진 서지(surge)를 일반 파일 활동으로 보고할 수 있습니다. 감지 매개 변수를 조정하면 특정 볼륨 작업량에 따라 보고의 정확도를 높일 수 있습니다.

공격 탐지 작동 방식

자율 랜섬웨어 보호(ARP)가 학습 또는 평가 모드에 있을 때 볼륨 동작에 대한 기준값을 개발합니다. 여기에는 엔트로피, 파일 확장자, 그리고 ONTAP 9.11.1부터는 IOPS가 포함됩니다. 이러한 기준값은 랜섬웨어 위협을 평가하는 데 사용됩니다. "ARP가 감지하는 것" .

특정 볼륨 및 워크로드에는 서로 다른 감지 매개 변수가 필요합니다. 예를 들어, ARP 지원 볼륨은 다양한 유형의 파일 확장자를 호스팅할 수 있습니다. 이 경우 이전에 보지 못한 파일 확장자의 임계값 수를 기본값인 20보다 큰 수로 수정하거나 이전에 보지 못한 파일 확장자를 기준으로 경고를 비활성화할 수 있습니다. ONTAP 9.11.1부터 공격 감지 매개 변수를 수정하여 특정 워크로드에 더 잘 맞출 수 있습니다.

ONTAP 9.14.1부터 ARP가 새 파일 확장자를 관찰하고 ARP가 스냅샷을 생성할 때 경고를 구성할 수 있습니다. 자세한 내용은 을 [modify-alerts]참조하십시오.

NAS 환경에서의 공격 탐지

ONTAP 9.10.1에서 ARP는 다음 조건을 모두 감지하면 경고를 발생시킵니다.

  • 이전에 볼륨에서 관찰되지 않은 파일 확장명을 가진 20개 이상의 파일

  • 높은 엔트로피 데이터

ONTAP 9.11.1부터 ARP는 _ONLY_ONLY_ONE 조건이 충족되면 위협 경고를 발생시킨다. 예를 들어, 이전에 볼륨에서 관찰되지 않은 파일 확장자를 가진 20개 이상의 파일이 24시간 내에 관찰되는 경우 ARP는 이를 관찰된 엔트로피의 위협_상관 없이_으로 분류합니다. 24시간 및 20파일 값은 기본값이며 수정할 수 있습니다.

참고 오탐지 발생률을 줄이려면 *스토리지 > 볼륨 > 보안 > 워크로드 특성 구성*으로 이동하여 *새 파일 형식 모니터링*을 비활성화하세요. 이 설정은 ONTAP 9.14.1 P7, 9.15.1 P1, 9.16.1 이상 버전에서 기본적으로 비활성화되어 있습니다.
SAN 환경에서의 공격 탐지

ONTAP 9.17.1부터 ARP는 자동으로 학습된 임계값을 초과하는 높은 암호화율을 감지하면 경고를 표시합니다. 이 임계값은 "평가 기간" 하지만 수정이 가능합니다.

공격 탐지 매개 변수를 수정합니다

ARP 지원 볼륨의 예상 동작에 따라 공격 탐지 매개변수를 수정해야 할 수도 있습니다.

단계

  1. 기존 공격 탐지 매개 변수 보기:

    security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>
    security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
           Block Device Auto Learned Encryption Threshold : 10
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

  2. 표시된 모든 필드는 부울 또는 정수 값으로 수정할 수 있습니다. 필드를 수정하려면 다음을 사용하세요. security anti-ransomware volume attack-detection-parameters modify 명령.

    에 대한 자세한 내용은 security anti-ransomware volume attack-detection-parameters modify "ONTAP 명령 참조입니다"을 참조하십시오.

알려진 서지를 보고합니다

ARP는 활성 상태에서도 감지 매개변수에 대한 기준값을 계속 수정합니다. 부피 활동, 1회 서지 또는 새로운 정상의 특징인 서지 중 한 가지를 알고 있는 경우, 안전한 것으로 보고해야 합니다. 수동으로 이러한 서지를 안전한 것으로 보고하면 ARP의 위협 평가의 정확도를 높이는 데 도움이 됩니다.

일회성 급지를 보고합니다

  1. 알려진 상황에서 일회성 서지가 발생하고 향후 상황에서 ARP가 비슷한 서지를 보고하려면 워크로드 동작에서 서지를 지웁니다.

    security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

    에 대한 자세한 내용은 security anti-ransomware volume workload-behavior clear-surge "ONTAP 명령 참조입니다"을 참조하십시오.

기준선 서지 수정

  1. 보고된 서지가 정상적인 응용 프로그램 동작으로 간주되어야 하는 경우 서지를 보고하여 기준 서지 값을 수정합니다.

    security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

    자세히 알아보세요 security anti-ransomware volume workload-behavior update-baseline-from-surge 에서 "ONTAP 명령 참조입니다" .

ARP 경고를 구성합니다

ONTAP 9.14.1부터 ARP를 사용하면 두 ARP 이벤트에 대한 경고를 지정할 수 있습니다.

  • 볼륨에서 새 파일 확장명을 관찰합니다

  • ARP 스냅샷 생성

이러한 두 이벤트에 대한 경고는 개별 볼륨 또는 전체 SVM에 설정할 수 있습니다. SVM에 대해 경고를 활성화하면 알림을 사용하도록 설정한 후 생성된 볼륨에서만 경고 설정이 상속됩니다. 기본적으로 알림은 모든 볼륨에 대해 활성화되지 않습니다.

이벤트 알림은 여러 관리자의 확인을 통해 제어할 수 있습니다. 자세한 내용은 다음을 참조하세요. "ARP로 보호되는 볼륨을 사용한 다중 관리자 검증" .

단계

시스템 관리자나 ONTAP CLI를 사용하여 ARP 이벤트에 대한 알림을 설정할 수 있습니다.

시스템 관리자
볼륨에 대한 알림을 설정합니다

  1. *볼륨*으로 이동합니다. 설정을 수정할 개별 볼륨을 선택합니다.

  2. 보안 탭을 선택한 다음 *이벤트 심각도 설정*을 선택합니다.

  3. 새로운 파일 확장자 감지됨랜섬웨어 스냅샷 생성됨 알림을 받으려면 심각도 제목 아래의 드롭다운 메뉴를 선택하세요. 설정을 *이벤트 생성 안 함*에서 *알림*으로 변경하세요.

  4. 저장 * 을 선택합니다.

SVM에 대한 알림 설정

  1. *저장소 VM*으로 이동한 다음 설정을 활성화하려는 SVM을 선택합니다.

  2. 보안 항목 아래에서 랜섬웨어 방지 카드를 찾으세요 . 메뉴 옵션 아이콘 그런 다음 *랜섬웨어 이벤트 심각도 편집*을 클릭합니다.

  3. 새로운 파일 확장자 감지됨랜섬웨어 스냅샷 생성됨 알림을 받으려면 심각도 제목 아래의 드롭다운 메뉴를 선택하세요. 설정을 *이벤트 생성 안 함*에서 *알림*으로 변경하세요.

  4. 저장 * 을 선택합니다.

CLI를 참조하십시오
볼륨에 대한 알림을 설정합니다

  • 새 파일 확장자에 대한 알림을 설정하려면 다음을 수행합니다.

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • ARP 스냅샷 생성을 위한 경고를 설정하려면:

    security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • 를 사용하여 설정을 확인합니다 anti-ransomware volume event-log show 명령.

SVM에 대한 알림 설정

  • 새 파일 확장자에 대한 알림을 설정하려면 다음을 수행합니다.

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true

  • ARP 스냅샷 생성을 위한 경고를 설정하려면:

    security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true

  • 를 사용하여 설정을 확인합니다 security anti-ransomware vserver event-log show 명령.

자세히 알아보세요 security anti-ransomware vserver event-log 의 명령 "ONTAP 명령 참조입니다" .

관련 정보