Skip to main content
NetApp Ransomware Resilience
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Proteja cargas de trabalho com estratégias de proteção de NetApp Ransomware Resilience

Colaboradores amgrissino netapp-ahibbard
PDFs

As estratégias de proteção contra ransomware são um recurso fundamental do NetApp Ransomware Resilience: elas dão suporte à detecção, proteção e replicação. As estratégias de proteção são uma parte essencial da sua postura de cibersegurança.

Função de console necessária Para executar esta tarefa, você precisa da função de administrador da organização, administrador de pasta ou projeto ou administrador de resiliência contra ransomware. "Saiba mais sobre as funções de resiliência contra ransomware para o NetApp Console" .

Entenda as estratégias de proteção contra ransomware

As estratégias de proteção contra ransomware abrangem detecção, proteção e replicação policies.

  • Políticas de detecção identificam ameaças de ransomware

  • Políticas de proteção incluem políticas de snapshot e backup. Políticas de detecção e snapshot são necessárias em uma estratégia de proteção. As políticas de backup são opcionais.

    Se você estiver usando outros produtos da NetApp para proteger sua carga de trabalho, o Ransomware Resilience os descobre e oferece a opção de:

    • use uma política de detecção de ransomware e continue a usar as políticas de snapshot e backup criadas por outras ferramentas da NetApp ou

    • use o Ransomware Resilience para gerenciar detecção, snapshots e backups.

  • As políticas de replicação permitem replicar snapshots do Ransomware Resilience para um site secundário. Os cronogramas de replicação podem ser definidos para frequências horárias, diárias, semanais ou mensais.

    Atualmente, você só pode replicar snapshots para armazenamento ONTAP local.

Observação Se você estiver configurando estratégias de proteção para Amazon FSxN para ONTAP e Azure NetApp Files, consulte "as limitações para cada serviço".
Dica Para uma gestão e proteção aprimoradas do seu conjunto de dados, você pode criar "cargas de trabalho em grupo" para proteger coletivamente volumes sob uma única estratégia.

Políticas de proteção com outros serviços gerenciados pela NetApp

Além da Ransomware Resilience, você pode usar NetApp Backup and Recovery para gerenciar a proteção de compartilhamentos de arquivos e compartilhamentos de arquivos de VM.

As informações de proteção dos serviços de Backup & Recovery aparecem no Ransomware Resilience. Você pode adicionar políticas de detecção a esses serviços com o Ransomware Resilience. Adicionar uma política de proteção com o Ransomware Resilience substitui as políticas de proteção existentes.

O Ransomware Resilience também descobre políticas de proteção do SnapCenter para datastores de VM da VMware e do SnapCenter para Oracle. Você não pode usar esses serviços para restaurar com o Ransomware Resilience.

Se uma política de detecção de ransomware estiver sendo gerenciada pelo Autonomous Ransomware Protection (ARP ou ARP/AI, dependendo da versão do ONTAP ) e FPolicy no ONTAP, essas cargas de trabalho serão protegidas e continuarão sendo gerenciadas pelo ARP e FPolicy.

Observação Os destinos de backup não estão disponíveis para cargas de trabalho no Amazon FSx for NetApp ONTAP ou Azure NetApp Files. Realize operações de backup usando o serviço de backup do FSx for ONTAP. Você define políticas de backup para cargas de trabalho no FSx for ONTAP na AWS, não no Ransomware Resilience. As políticas de backup aparecem no Ransomware Resilience e permanecem inalteradas em relação à AWS.

Políticas de proteção para cargas de trabalho não protegidas por aplicativos NetApp

Se sua carga de trabalho não for gerenciada pelo NetApp Backup and Recovery ou pelo NetApp Ransomware Resilience, ela pode ter snapshots criados como parte do ONTAP ou de outros produtos. Se a proteção FPolicy do ONTAP estiver em vigor, você pode alterá-la usando o ONTAP.

Políticas de detecção predefinidas

Você pode escolher uma das seguintes políticas predefinidas de Resiliência contra Ransomware, que estão alinhadas com a importância da carga de trabalho.

Observação A política Extensão de usuário de criptografia é a única política predefinida que oferece suporte à detecção de comportamento suspeito do usuário.

+ A política de replicação crítica é a única política predefinida que suporta a replicação de snapshots para o ONTAP.

Nível de política Instantâneo Freqüência Retenção (dias) Número de cópias instantâneas Número máximo de cópias instantâneas

Política de carga de trabalho crítica

A cada quarto de hora

A cada 15 minutos

3

288

309

Diário

A cada 1 dia

14

14

309

Semanalmente

A cada 1 semana

35

5

309

Mensal

A cada 30 dias

60

2

309

Política importante de carga de trabalho

A cada quarto de hora

A cada 30 minutos

3

144

165

Diário

A cada 1 dia

14

14

165

Semanalmente

A cada 1 semana

35

5

165

Mensal

A cada 30 dias

60

2

165

Política de carga de trabalho padrão

A cada quarto de hora

A cada 30 minutos

3

72

93

Diário

A cada 1 dia

14

14

93

Semanalmente

A cada 1 semana

35

5

93

Mensal

A cada 30 dias

60

2

93

Extensão de usuário de criptografia

A cada quarto de hora

A cada 30 minutos

3

72

93

Diário

A cada 1 dia

14

14

93

Semanalmente

A cada 1 semana

35

5

93

Mensal

A cada 30 dias

60

2

93

Política de replicação crítica

A cada quarto de hora

A cada 15 minutos

3

288

309

Diário

A cada 1 dia

14

14

309

Semanalmente

A cada 1 semana

35

5

309

Mensal

A cada 30 dias

60

2

309

Adicione uma estratégia de proteção contra ransomware

Existem três abordagens para adicionar uma estratégia de proteção contra ransomware:

  • Crie uma estratégia de proteção contra ransomware se você não tiver políticas de snapshot ou backup.

    A estratégia de proteção contra ransomware inclui:

    • Política de instantâneo

    • Política de detecção de ransomware

    • Política de backup

  • Substitua as políticas de snapshot ou backup existentes da proteção de Backup and Recovery por estratégias de proteção gerenciadas pela Ransomware Resilience.

    A estratégia de proteção contra ransomware inclui:

    • Política de instantâneo

    • Política de detecção de ransomware

    • Política de backup

  • Crie uma política de detecção para cargas de trabalho com políticas de snapshot e backup existentes gerenciadas em outros produtos ou serviços da NetApp .

    A política de detecção não altera as políticas gerenciadas em outros produtos.

    A política de detecção habilita a Proteção Autônoma contra Ransomware e a proteção FPolicy se elas já estiverem ativadas em outros serviços. Saiba mais sobre"Proteção Autônoma contra Ransomware" ,"Backup e Recuperação" , e"Política ONTAP" .

Crie uma estratégia de proteção contra ransomware (se você não tiver políticas de snapshot ou backup)

Se não houver políticas de snapshot ou backup na carga de trabalho, você poderá criar uma estratégia de proteção contra ransomware, que pode incluir as seguintes políticas criadas no Ransomware Resilience:

  • Política de instantâneo

  • Política de backup

  • Política de detecção de ransomware

  • Replicação secundária para ONTAP

Etapas para criar uma estratégia de proteção contra ransomware

  1. No menu Resiliência contra Ransomware, selecione Proteção.

    Gerenciar página de estratégia

  2. Na página Proteção, selecione uma carga de trabalho e depois Proteger.

  3. Na página Estratégias de proteção contra ransomware, selecione Adicionar.

    Adicionar página de estratégia mostrando a seção de instantâneo

  4. Insira um novo nome de estratégia ou insira um nome existente para copiá-lo. Se você inserir um nome existente, escolha qual deseja copiar e selecione Copiar.

    Observação Se você optar por copiar e modificar uma estratégia existente, o Ransomware Resilience anexará "_copy" ao nome original. Você deve alterar o nome e pelo menos uma configuração para torná-lo único.

  5. Para cada item, selecione a Seta para baixo.

    • Política de detecção:

      • Política: Escolha uma das políticas de detecção predefinidas.

      • Detecção primária: Ative a Resiliência a Ransomware para detectar possíveis ataques de ransomware.

      • Detecção de comportamento suspeito do usuário: habilite a detecção de comportamento do usuário para transmitir eventos de atividade do usuário ao Ransomware Resilience e detectar eventos suspeitos, como violações de dados.

      • Bloquear extensões de arquivo: Ative a Resiliência a Ransomware para bloquear extensões de arquivo suspeitas conhecidas. O recurso de Resiliência a Ransomware cria cópias instantâneas automáticas quando a detecção primária está ativada.

        Se você quiser alterar as extensões de arquivo bloqueadas, edite-as no Gerenciador do Sistema.

    • Política de instantâneos:

      • Nome base da política de instantâneo: Selecione uma política ou selecione Criar e insira um nome para a política de instantâneo.

      • Bloqueio de instantâneo: ative esta opção para bloquear as cópias de instantâneo no armazenamento primário para que elas não possam ser modificadas ou excluídas por um determinado período de tempo, mesmo que um ataque de ransomware chegue ao destino do armazenamento de backup. Isso também é chamado de armazenamento imutável. Isso permite um tempo de restauração mais rápido.

        Quando um snapshot é bloqueado, o tempo de expiração do volume é definido como o tempo de expiração da cópia do snapshot.

    O bloqueio de cópia de instantâneo está disponível no ONTAP 9.12.1 e posteriores. Para saber mais sobre SnapLock, consulte "SnapLock no ONTAP" .

    • Agendamentos de instantâneos: escolha opções de agendamento, o número de cópias de instantâneos a serem mantidas e selecione para habilitar o agendamento.

      • Política de replicação:

    • Nome base da política de replicação: Insira um novo nome ou escolha um existente. O nome base é o prefixo adicionado a todos os instantâneos.

    • Agendamentos de replicação: Alterne as frequências que deseja ativar (por hora, diariamente, semanalmente ou mensalmente) e defina o valor de retenção (o número de snapshots replicados a serem mantidos) para cada agendamento ativado.

      • Política de backup:

    • Nome base da política de backup: insira um novo nome ou escolha um nome existente.

    • Agendamentos de backup: escolha opções de agendamento para armazenamento secundário e ative o agendamento.

      Dica Para habilitar o bloqueio de backup no armazenamento secundário, configure seus destinos de backup usando a opção Configurações. Para obter detalhes, consulte "Configurar definições" .

  6. Selecione Adicionar.

Adicione uma política de detecção às cargas de trabalho com políticas de snapshot e backup existentes gerenciadas pelo Backup and Recovery

Ransomware Resilience permite atribuir uma política de detecção ou uma política de proteção a cargas de trabalho com proteção de snapshot e backup já gerenciada em outros NetApp produtos ou serviços. Backup and Recovery utiliza políticas que regem snapshots, replicação para storage secundário ou backups para storage de objetos.

Adicionar uma política de detecção a cargas de trabalho com políticas de backup ou snapshot existentes

Se você já possui políticas de snapshot ou backup com o Backup and Recovery, pode adicionar uma política para detectar ataques de ransomware. Para gerenciar a proteção e a detecção com o Ransomware Resilience, consulte Proteja-se com resiliência contra ransomware.

Passos

  1. No menu Resiliência contra Ransomware, selecione Proteção.

    Gerenciar página de estratégia

  2. Na página Proteção, selecione uma carga de trabalho e selecione Proteger.

  3. Ransomware Resilience detecta se existem políticas de Backup and Recovery ativas.

  4. Para manter seu Backup and Recovery existente e aplicar apenas uma política de detection, deixe a caixa Replace existing policies desmarcada.

  5. Selecione as configurações de detecção que você deseja:

    • Detecção de criptografia

    • Detecção de comportamento suspeito do usuário

    • Bloquear extensões de arquivo suspeitas

  6. Selecione Avançar.

  7. Se você selecionou Detecção de comportamento suspeito do usuário como uma configuração de detecção, selecione o agente de atividade do usuário ou "ou criar um".

    O agente de atividade do usuário hospeda os novos coletores de dados. O Ransomware Resilience cria o coletor de dados automaticamente para transmitir eventos de atividade do usuário ao Ransomware Resilience para detectar comportamento anômalo do usuário.

  8. Selecione Avançar.

  9. Reveja suas escolhas. Selecione Criar para ativar a detecção.

  10. Na página Proteção, revise o Status de detecção para confirmar se a detecção está Ativa.

Substitua as políticas de backup ou snapshot existentes por uma estratégia de proteção contra ransomware

Você pode substituir suas políticas existentes de backup ou snapshot por uma estratégia de proteção contra ransomware. Essa abordagem remove sua proteção gerenciada externamente e configura a detecção e a proteção no Ransomware Resilience.

Passos

  1. No menu Resiliência contra Ransomware, selecione Proteção.

    Gerenciar página de estratégia

  2. Na página Proteção, selecione uma carga de trabalho e selecione Proteger.

  3. Ransomware Resilience detecta se existem políticas de Backup and Recovery ativas. Para substituir as políticas existentes, selecione a caixa Replace existing policies. Ao selecionar a caixa, o Ransomware Resilience substitui a lista de políticas de detecção por políticas de detecção.

  4. Escolha uma política de proteção. Se não houver nenhuma política de proteção, selecione Adicionar para criar uma nova política. Para obter informações sobre como criar uma política, consulteCrie uma política de proteção . Selecione Avançar.

  5. Se sua estratégia incluir replicação, selecione o Sistema de destino e a VM de armazenamento de destino. Selecione Próximo.

  6. Selecione um destino de backup ou crie um novo. Selecione Avançar.

    1. Se sua estratégia de proteção incluir detecção de comportamento do usuário, selecione um agente de atividade do usuário em seu ambiente para hospedar os novos coletores de dados. O Ransomware Resilience cria o coletor de dados automaticamente para transmitir eventos de atividade do usuário ao Ransomware Resilience para detectar comportamento anômalo do usuário.

  7. Revise a nova estratégia de proteção e selecione Proteger para aplicá-la.

  8. Na página Proteção, revise o Status de detecção para confirmar se a detecção está Ativa.

Atribuir uma política diferente

Você pode substituir a política existente por uma diferente.

Passos

  1. No menu Resiliência contra Ransomware, selecione Proteção.

  2. Na página Proteção, na linha de carga de trabalho, selecione Editar proteção.

  3. Se a carga de trabalho tiver uma política de Backup and Recovery existente que você deseja manter, desmarque Replace existing policies. Para substituir as políticas existentes, marque Replace existing policies.

  4. Na página Políticas, selecione a seta para baixo da política que você deseja atribuir para revisar os detalhes.

  5. Selecione a política que você deseja atribuir.

  6. Selecione Proteger para concluir a alteração.

Gerenciar estratégias de proteção contra ransomware

Você pode excluir uma estratégia de ransomware.

Veja cargas de trabalho protegidas por uma estratégia de proteção contra ransomware

Antes de excluir uma estratégia de proteção contra ransomware, talvez você queira ver quais cargas de trabalho são protegidas por essa estratégia.

Você pode visualizar as cargas de trabalho na lista de estratégias ou quando estiver editando uma estratégia específica.

Etapas para visualizar estratégias

  1. No menu Resiliência contra Ransomware, selecione Proteção.

  2. Na página Proteção, selecione Gerenciar estratégias de proteção.

    A página de estratégias de proteção contra ransomware exibe uma lista de estratégias.

    Tela de estratégias de proteção contra ransomware mostrando uma lista de estratégias

  3. Na página Estratégias de proteção contra ransomware, na coluna Cargas de trabalho protegidas, selecione a seta para baixo no final da linha.

Excluir uma estratégia de proteção contra ransomware

Você pode excluir uma estratégia de proteção que não esteja atualmente associada a nenhuma carga de trabalho.

Passos

  1. No menu Resiliência contra Ransomware, selecione Proteção.

  2. Na página Proteção, selecione Gerenciar estratégias de proteção.

  3. Na página Gerenciar estratégias, selecione *Ações*Botão de ações opção para a estratégia que você deseja excluir.

  4. No menu Ações, selecione Excluir política.