Gerencie os parâmetros de deteção de ataque Autonomous ransomware Protection
A partir do ONTAP 9.11,1, você pode modificar os parâmetros para a deteção de ransomware em um volume específico com a proteção autônoma ativada e relatar um aumento conhecido como atividade de arquivo normal. Ajustar os parâmetros de deteção ajuda a melhorar a precisão dos relatórios com base na sua carga de trabalho de volume específica.
Como a deteção de ataque funciona
Quando o Autonomous ransomware Protection (ARP) está no modo de aprendizado, ele desenvolve valores de linha de base para comportamentos de volume. Estas são entropia, extensões de arquivo e, a partir de ONTAP 9.11,1, IOPS. Essas linhas de base são usadas para avaliar ameaças de ransomware. Para obter mais informações sobre esses critérios, O que o ARP detetaconsulte .
No ONTAP 9.10,1, o ARP emite um aviso se detetar ambas as seguintes condições:
-
Mais de 20 arquivos com extensões de arquivo não observadas anteriormente no volume
-
Dados de alta entropia
A partir do ONTAP 9.11,1, o ARP emite um aviso de ameaça se somente uma condição for atendida. Por exemplo, se mais de 20 arquivos com extensões de arquivo que não foram observadas anteriormente no volume forem observados dentro de um período de 24 horas, o ARP irá categorizar isso como uma ameaça independentemente da entropia observada. Os valores de 24 horas e 20 arquivos são padrões, que podem ser modificados.
Para reduzir o número elevado de alertas falsos positivos, aceda a armazenamento > volumes > Segurança > Configurar caraterísticas da carga de trabalho e desative Monitorizar novos tipos de ficheiros. Esta configuração é desativada por padrão no ONTAP 9.14,1 P7, 9.15.1 P1 e 9.16.1 RC e posterior. |
A partir do ONTAP 9.14,1, você pode configurar alertas quando o ARP observa uma nova extensão de arquivo e quando o ARP cria um snapshot. Para obter mais informações, [modify-alerts]consulte .
Certos volumes e workloads exigem parâmetros de detecção diferentes. Por exemplo, seu volume habilitado para ARP pode hospedar vários tipos de extensões de arquivo, caso em que você pode querer modificar a contagem de limite para extensões de arquivo nunca antes vistas para um número maior do que o padrão de 20 ou desativar avisos baseados em extensões de arquivo nunca antes vistas. A partir do ONTAP 9.11,1, você pode modificar os parâmetros de deteção de ataque para que eles se ajustem melhor às suas cargas de trabalho específicas.
Modificar parâmetros de deteção de ataque
Dependendo dos comportamentos esperados do seu volume habilitado para ARP, você pode querer modificar os parâmetros de deteção de ataque.
-
Veja os parâmetros de deteção de ataque existentes:
security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>
security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1 Vserver Name : vs1 Volume Name : vol1 Is Detection Based on High Entropy Data Rate? : true Is Detection Based on Never Seen before File Extension? : true Is Detection Based on File Create Rate? : true Is Detection Based on File Rename Rate? : true Is Detection Based on File Delete Rate? : true Is Detection Relaxing Popular File Extensions? : true High Entropy Data Surge Notify Percentage : 100 File Create Rate Surge Notify Percentage : 100 File Rename Rate Surge Notify Percentage : 100 File Delete Rate Surge Notify Percentage : 100 Never Seen before File Extensions Count Notify Threshold : 20 Never Seen before File Extensions Duration in Hour : 24
-
Todos os campos mostrados são modificáveis com valores booleanos ou inteiros. Para modificar um campo, use o
security anti-ransomware volume attack-detection-parameters modify
comando.Saiba mais sobre os comandos descritos neste procedimento no "Referência do comando ONTAP".
Relatar surtos conhecidos
O ARP continua a modificar os valores da linha de base para os parâmetros de deteção, mesmo no modo ativo. Se você souber de picos em sua atividade de volume, picos de uma vez ou um surto que é caraterístico de um novo normal, você deve denunciá-los como seguros. Relatar manualmente esses picos como seguros ajuda a melhorar a precisão das avaliações de ameaças da ARP.
-
Se um surto único estiver ocorrendo em circunstâncias conhecidas e você quiser que o ARP relate um aumento semelhante em circunstâncias futuras, limpe o aumento do comportamento da carga de trabalho:
security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>
-
Se um surto relatado deve ser considerado comportamento normal da aplicação, reporte o surto como tal para modificar o valor de oscilação da linha de base.
security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>
Configurar alertas ARP
A partir do ONTAP 9.14,1, o ARP permite especificar alertas para dois eventos ARP:
-
Observação de nova extensão de arquivo em um volume
-
Criação de um instantâneo ARP
Os alertas desses dois eventos podem ser definidos em volumes individuais ou em toda a SVM. Se você ativar os alertas para o SVM, as configurações de alerta serão herdadas apenas por volumes criados após a ativação do alerta. Por padrão, os alertas não são ativados em nenhum volume.
Os alertas de eventos podem ser controlados com verificação multi-admin. Para obter mais informações, Verificação multi-admin com volumes protegidos com ARPconsulte .
-
Navegue até volumes. Selecione o volume individual para o qual pretende modificar as definições.
-
Selecione a guia Segurança e, em seguida, Configurações de Segurança de Eventos.
-
Para receber alertas para Nova extensão de arquivo detetada e instantâneo ransomware criado, selecione o menu suspenso sob o título gravidade. Modifique a configuração de não gerar evento para Aviso.
-
Selecione Guardar.
-
Navegue até Storage VM e selecione o SVM para o qual você deseja ativar as configurações.
-
Sob o título Segurança, localize o cartão Anti-ransomware. Selecione, em seguida, Editar gravidade do evento ransomware.
-
Para receber alertas para Nova extensão de arquivo detetada e instantâneo ransomware criado, selecione o menu suspenso sob o título gravidade. Modifique a configuração de não gerar evento para Aviso.
-
Selecione Guardar.
-
Para definir alertas para uma nova extensão de arquivo:
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
Para definir alertas para a criação de um instantâneo ARP:
security anti-ransomware volume event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
Confirme suas configurações com o
anti-ransomware volume event-log show
comando.
-
Para definir alertas para uma nova extensão de arquivo:
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-new-file-extension-seen true
-
Para definir alertas para a criação de um instantâneo ARP:
security anti-ransomware vserver event-log modify -vserver <svm_name> -is-enabled-on-snapshot-copy-creation true
-
Confirme suas configurações com o
security anti-ransomware vserver event-log show
comando.