O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerenciar os parâmetros de deteção de ataques de proteção autônoma do ONTAP ransomware

10/30/2025 Colaboradores

PDFs

A partir do ONTAP 9.11.1, você pode modificar os parâmetros para a deteção de ransomware em um volume específico com a proteção autônoma ativada e relatar um aumento conhecido como atividade de arquivo normal. Ajustar os parâmetros de deteção ajuda a melhorar a precisão dos relatórios com base na sua carga de trabalho de volume específica.

Como a deteção de ataque funciona

Quando a Proteção Autônoma contra Ransomware (ARP) está em modo de aprendizado ou avaliação, ela desenvolve valores de referência para comportamentos de volume. Estes incluem entropia, extensões de arquivo e, a partir do ONTAP 9.11.1, IOPS. Essas referências são usadas para avaliar ameaças de ransomware. Para obter mais informações sobre esses critérios, consulte "O que o ARP deteta" .

Certos volumes e workloads exigem parâmetros de detecção diferentes. Por exemplo, seu volume habilitado para ARP pode hospedar vários tipos de extensões de arquivo, caso em que você pode querer modificar a contagem de limite para extensões de arquivo nunca antes vistas para um número maior do que o padrão de 20 ou desativar avisos baseados em extensões de arquivo nunca antes vistas. A partir do ONTAP 9.11,1, você pode modificar os parâmetros de deteção de ataque para que eles se ajustem melhor às suas cargas de trabalho específicas.

A partir do ONTAP 9.14.1, você pode configurar alertas quando o ARP observa uma nova extensão de arquivo e quando o ARP cria um snapshot. Para obter mais informações, [modify-alerts]consulte .

Detecção de ataques em ambientes NAS

No ONTAP 9.10,1, o ARP emite um aviso se detetar ambas as seguintes condições:

Mais de 20 arquivos com extensões de arquivo não observadas anteriormente no volume
Dados de alta entropia

A partir do ONTAP 9.11.1, o ARP emite um aviso de ameaça se somente uma condição for atendida. Por exemplo, se mais de 20 arquivos com extensões de arquivo que não foram observadas anteriormente no volume forem observados dentro de um período de 24 horas, o ARP irá categorizar isso como uma ameaça independentemente da entropia observada. Os valores de 24 horas e 20 arquivos são padrões, que podem ser modificados.

Para reduzir o alto número de alertas falsos positivos, acesse Armazenamento > Volumes > Segurança > Configurar características da carga de trabalho e desative Monitorar novos tipos de arquivo. Esta configuração está desativada por padrão no ONTAP 9.14.1 P7, 9.15.1 P1, 9.16.1 e posteriores.

Detecção de ataques em ambientes SAN

A partir do ONTAP 9.17.1, o ARP emite um aviso se detectar altas taxas de criptografia que excedem um limite aprendido automaticamente. Este limite é estabelecido após uma "período de avaliação" mas pode ser modificado.

Modificar parâmetros de deteção de ataque

Dependendo dos comportamentos esperados do seu volume habilitado para ARP, talvez você queira modificar os parâmetros de detecção de ataques.

Passos

Veja os parâmetros de deteção de ataque existentes:

security anti-ransomware volume attack-detection-parameters show -vserver <svm_name> -volume <volume_name>

security anti-ransomware volume attack-detection-parameters show -vserver vs1 -volume vol1
                                             Vserver Name : vs1
                                              Volume Name : vol1
           Block Device Auto Learned Encryption Threshold : 10
            Is Detection Based on High Entropy Data Rate? : true
  Is Detection Based on Never Seen before File Extension? : true
                  Is Detection Based on File Create Rate? : true
                  Is Detection Based on File Rename Rate? : true
                  Is Detection Based on File Delete Rate? : true
           Is Detection Relaxing Popular File Extensions? : true
                High Entropy Data Surge Notify Percentage : 100
                 File Create Rate Surge Notify Percentage : 100
                 File Rename Rate Surge Notify Percentage : 100
                 File Delete Rate Surge Notify Percentage : 100
 Never Seen before File Extensions Count Notify Threshold : 20
       Never Seen before File Extensions Duration in Hour : 24

Todos os campos mostrados são modificáveis com valores booleanos ou inteiros. Para modificar um campo, use o security anti-ransomware volume attack-detection-parameters modify comando.

Saiba mais sobre security anti-ransomware volume attack-detection-parameters modify o "Referência do comando ONTAP"na .

Relatar surtos conhecidos

O ARP continua a modificar os valores da linha de base para os parâmetros de deteção, mesmo quando ativo. Se você souber de picos em sua atividade de volume, picos de uma vez ou um surto que é caraterístico de um novo normal, você deve denunciá-los como seguros. Relatar manualmente esses picos como seguros ajuda a melhorar a precisão das avaliações de ameaças da ARP.

Relatar um surto único

Se um surto único estiver ocorrendo em circunstâncias conhecidas e você quiser que o ARP relate um aumento semelhante em circunstâncias futuras, limpe o aumento do comportamento da carga de trabalho:

security anti-ransomware volume workload-behavior clear-surge -vserver <svm_name> -volume <volume_name>

Saiba mais sobre security anti-ransomware volume workload-behavior clear-surge o "Referência do comando ONTAP"na .

Modifique a oscilação da linha de base

Se um surto relatado deve ser considerado comportamento normal da aplicação, reporte o surto como tal para modificar o valor de oscilação da linha de base.

security anti-ransomware volume workload-behavior update-baseline-from-surge -vserver <svm_name> -volume <volume_name>

Saiba mais sobre security anti-ransomware volume workload-behavior update-baseline-from-surge no "Referência do comando ONTAP" .

Configurar alertas ARP

A partir do ONTAP 9.14.1, o ARP permite especificar alertas para dois eventos ARP:

Observação de nova extensão de arquivo em um volume
Criação de um instantâneo ARP

Os alertas desses dois eventos podem ser definidos em volumes individuais ou em toda a SVM. Se você ativar os alertas para o SVM, as configurações de alerta serão herdadas apenas por volumes criados após a ativação do alerta. Por padrão, os alertas não são ativados em nenhum volume.

Os alertas de eventos podem ser controlados com verificação multiadministradora. Para mais informações, consulte "Verificação multi-admin com volumes protegidos com ARP" .

Passos

Você pode usar o System Manager ou o ONTAP CLI para definir alertas para eventos ARP.

System Manager

Definir alertas para um volume

Navegue até Volumes. Selecione o volume específico cujas configurações você deseja modificar.
Selecione a aba Segurança e depois Configurações de gravidade do evento.
Para receber alertas sobre Nova extensão de arquivo detectada e Instantâneo de ransomware criado, selecione o menu suspenso sob o título Gravidade. Modifique a configuração de Não gerar evento para Aviso.
Selecione Guardar.

Definir alertas para um SVM

Navegue até VM de armazenamento e selecione a SVM para a qual deseja habilitar as configurações.
Sob o título Segurança, localize o cartão Anti-ransomware. Selecione então Editar gravidade do evento de ransomware.
Para receber alertas sobre Nova extensão de arquivo detectada e Instantâneo de ransomware criado, selecione o menu suspenso sob o título Gravidade. Modifique a configuração de Não gerar evento para Aviso.
Selecione Guardar.

CLI