Integração com a Proteção Autônoma contra Ransomware ONTAP
Sugerir alterações
PDFs
O recurso ONTAP Autonomous Ransomware Protection (ARP) usa análise de carga de trabalho em ambientes NAS (NFS e SMB) para detectar e alertar proativamente sobre atividades anormais em arquivos que podem indicar um ataque de ransomware.
Detalhes adicionais e requisitos de licença sobre ARP podem ser encontrados"aqui" .
O Workload Security integra-se ao ONTAP para receber eventos ARP e fornecer uma camada adicional de análise e respostas automáticas.
O Workload Security recebe os eventos ARP do ONTAP e executa as seguintes ações:
-
Correlaciona eventos de criptografia de volume com a atividade do usuário para identificar quem está causando o dano.
-
Implementa políticas de resposta automática (se definidas)
-
Fornece recursos forenses:
-
Permitir que os clientes conduzam investigações de violação de dados.
-
Identifique quais arquivos foram afetados, ajudando a recuperar mais rapidamente e conduzir investigações de violação de dados.
-
Pré-requisitos
-
Versão mínima do ONTAP : 9.11.1
-
Volumes habilitados para ARP. Detalhes sobre como habilitar o ARP podem ser encontrados"aqui" . O ARP deve ser habilitado via OnCommand System Manager. O Workload Security não pode habilitar o ARP.
-
O coletor de segurança de carga de trabalho deve ser adicionado via IP do cluster.
-
Credenciais em nível de cluster são necessárias para que esse recurso funcione. Em outras palavras, as credenciais em nível de cluster devem ser usadas ao adicionar o SVM.
Permissões de usuário necessárias
Se você estiver usando credenciais de administração de cluster, nenhuma nova permissão será necessária.
Se você estiver usando um usuário personalizado (por exemplo, csuser) com permissões dadas ao usuário, siga as etapas abaixo para dar permissões ao Workload Security para coletar informações relacionadas ao ARP do ONTAP.
Para csuser com credenciais de cluster, faça o seguinte na linha de comando do ONTAP :
security login role create -role csrole -cmddirname "volume" -access readonly security login role create -role csrole -cmddirname "security anti-ransomware volume" -access readonly
Leia mais sobre como configurar outros"Permissões da ONTAP" .
Alerta de amostra
Um exemplo de alerta gerado devido ao evento ARP é mostrado abaixo:
Um banner de alta confiança indica que o ataque demonstrou comportamento de ransomware junto com atividades de criptografia de arquivos. O gráfico de arquivos criptografados indica o registro de data e hora em que a atividade de criptografia de volume foi detectada pela solução ARP.
Limitações
No caso em que um SVM não é monitorado pelo Workload Security, mas há eventos ARP gerados pelo ONTAP, os eventos ainda serão recebidos e exibidos pelo Workload Security. No entanto, informações forenses relacionadas ao alerta, bem como o mapeamento do usuário, não serão capturadas ou exibidas.
Solução de problemas
Problemas conhecidos e suas soluções são descritos na tabela a seguir.
| Problema: | Resolução: |
|---|---|
Os alertas por e-mail são recebidos 24 horas após um ataque ser detectado. Na interface do usuário, os alertas são exibidos 24 horas antes, quando os e-mails são recebidos pelo Data Infrastructure Insights Workload Security. |
Quando o ONTAP envia o evento Ransomware detectado para o Data Infrastructure Insights Workload Security (ou seja, Workload Security), o e-mail é enviado. O evento contém uma lista de ataques e seus registros de data e hora. A interface do usuário do Workload Security exibe o registro de data e hora do alerta do primeiro arquivo atacado. O ONTAP envia o evento Ransomware detectado para o Data Infrastructure Insights quando um determinado número de arquivos é codificado. Portanto, pode haver uma diferença entre o momento em que o alerta é exibido na interface do usuário e o momento em que o e-mail é enviado. |