Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Proteja seus dados com a proteção autônoma contra ransomware da NetApp com IA

Colaboradores netapp-rlithman
PDFs

Proteja seus dados com o NetApp Autonomous Ransomware Protection com IA (ARP/AI), um recurso que usa análise de carga de trabalho em ambientes NAS (NFS/SMB) para detectar e alertar sobre atividades anormais que podem ser um ataque de ransomware. Quando há suspeita de um ataque, o ARP/AI também cria novos instantâneos imutáveis a partir dos quais você pode restaurar seus dados.

Sobre esta tarefa

Use ARP/AI para se proteger contra ataques de negação de serviço, em que o invasor retém dados até que um resgate seja pago. ARP/AI oferece detecção de ransomware em tempo real com base em:

  • Identificação dos dados recebidos como encriptados ou em texto simples.

  • Análises que detectam:

    • Entropia: Uma avaliação da aleatoriedade dos dados em um arquivo

    • Tipos de extensão de arquivo: Uma extensão que não está em conformidade com o tipo de extensão normal

    • IOPS de arquivos: Um aumento na atividade de volume anormal com criptografia de dados

O ARP/IA pode detectar a propagação da maioria dos ataques de ransomware depois que apenas um pequeno número de arquivos é criptografado, tomar medidas automaticamente para proteger os dados e alertá-lo sobre a ocorrência de um ataque suspeito.

O recurso ARP/AI é atualizado automaticamente de acordo com a versão do ONTAP executada Amazon FSx for NetApp ONTAP, para que você não precise fazer atualizações manuais.

Aprendizagem e modos ativos

O ARP/AI opera primeiro no modo de aprendizagem e depois muda automaticamente para o modo ativo.

  • Modo de aprendizagem: Quando você habilita o ARP/AI, ele é executado no modo de aprendizagem. No modo de aprendizagem, o sistema de arquivos FSx para ONTAP desenvolve um perfil de alerta com base nas áreas analíticas: entropia, tipos de extensão de arquivo e IOPS de arquivo. Após o sistema de arquivos executar o ARP/AI no modo de aprendizagem por tempo suficiente para avaliar as características da carga de trabalho, a fábrica de carga de trabalho alterna automaticamente para o ARP/AI no modo ativo e começa a proteger seus dados.

  • Modo ativo: depois que o ARP/AI muda para o modo ativo, o FSx para ONTAP cria instantâneos de ARP/AI para proteger os dados se uma ameaça for detectada.

    No modo ativo, se uma extensão de arquivo for sinalizada como anormal, você deve avaliar o alerta. Você pode agir no alerta para proteger seus dados ou você pode marcar o alerta como um falso positivo. Marcar um alerta como falso positivo atualiza o perfil de alerta. Por exemplo, se o alerta for acionado por uma nova extensão de arquivo e você marcar o alerta como um falso positivo, você não receberá um alerta na próxima vez que essa extensão de arquivo for observada.

Configurações não suportadas

As configurações a seguir não suportam o uso de ARP/AI.

  • Volumes DE SAN/bloco

  • Volumes iSCSI

  • Volumes NVMe

Habilitar ARP/AI para um sistema de arquivos ou um volume

Habilitar ARP/AI para um sistema de arquivos adiciona proteção para todos os volumes NAS existentes e NAS recém-criados (NFS/SMB) automaticamente. Você também pode habilitar ARP/AI para volumes individuais.

Após habilitar o ARP/AI, se ocorrer um ataque e você identificar que ele é real, o Workload Factory configurará automaticamente uma política de snapshot que tira até seis snapshots a cada quatro horas. Cada instantâneo fica bloqueado por 2 a 5 dias.

Antes de começar

Para habilitar ARP/AI para um sistema de arquivos ou um volume, você deve associar um link. "Aprenda como associar um link existente ou criar e associar um novo link" . Após o link associar, retorne a esta operação.

Habilitar ARP/AI para um sistema de arquivos
Passos

  1. Inicie sessão utilizando uma das "experiências de console".

  2. Em armazenamento, selecione ir para inventário de armazenamento.

  3. Na aba FSx para ONTAP, selecione o menu de três pontos do sistema de arquivos para habilitar ARP/AI e então selecione Gerenciar.

  4. Em Informações, selecione o ícone de lápis ao lado de Proteção Autônoma contra Ransomware. O ícone de lápis aparece ao lado da seta quando o mouse passa sobre a linha Proteção Autônoma contra Ransomware.

  5. Na página NetApp Autonomous Ransomware Protection com IA (ARP/AI), faça o seguinte:

    1. Habilitar ou desabilitar o recurso.

    2. Criação automática de snapshots: Selecione o número máximo de snapshots a serem retidos e o intervalo de tempo entre os snapshots. O padrão é 6 instantâneos a cada 4 horas.

    3. Snapshots imutáveis: Selecione o período de retenção padrão em horas e o número máximo de dias para reter snapshots imutáveis. Ative esta opção para garantir que os instantâneos não possam ser excluídos ou modificados até que o período de retenção especificado termine.

    4. Detecção: Opcionalmente, selecione qualquer um dos seguintes parâmetros para escanear e detectar anomalias automaticamente.

  6. Aceite a declaração para prosseguir.

  7. Selecione Apply para salvar as alterações.

Habilitar ARP/AI para um volume
Passos

  1. Inicie sessão utilizando uma das "experiências de console".

  2. Em armazenamento, selecione ir para inventário de armazenamento.

  3. Na aba FSx para ONTAP, selecione o menu de três pontos do sistema de arquivos para habilitar ARP/AI e então selecione Gerenciar.

  4. Na guia Volumes, selecione o menu de três pontos do volume para habilitar ARP/AI, depois Ações de proteção de dados e, por fim, Gerenciar ARP/AI.

  5. Na caixa de diálogo Gerenciar ARP/AI, faça o seguinte:

    1. Habilitar ou desabilitar o recurso.

    2. Detecção: Opcionalmente, selecione qualquer um dos seguintes parâmetros para escanear e detectar anomalias automaticamente.

  6. Aceite a declaração para prosseguir.

  7. Selecione Apply para salvar as alterações.

Validar ataques de ransomware

Determine se um ataque é um falso alarme ou um incidente de ransomware genuíno.

Passos

  1. Inicie sessão utilizando uma das "experiências de console".

  2. Em armazenamento, selecione ir para inventário de armazenamento.

  3. Na visão geral do sistema de arquivos, selecione a guia volumes.

  4. Selecione Analyze attacks no bloco Autonomous ransomware Protection.

  5. Baixe o relatório de eventos de ataque para analisar se algum arquivo ou pasta foi comprometido e, em seguida, decidir se ocorreu um ataque.

  6. Se nenhum ataque ocorreu, selecione False Alarm para o volume na tabela e, em seguida, selecione Close

  7. Se um ataque tiver ocorrido, selecione Real Attack para o volume na tabela. A caixa de diálogo Restaurar dados de volume comprometidos é aberta. Você pode prosseguir para recupere seus dados imediatamente ou selecionar Fechar e voltar para concluir o processo de recuperação mais tarde.

Recuperar dados após um ataque de ransomware

Quando há suspeita de um ataque, o sistema tira um instantâneo do volume naquele momento e bloqueia essa cópia. Se o ataque for confirmado posteriormente, os arquivos afetados ou o volume inteiro poderão ser restaurados usando o snapshot ARP/AI.

Os instantâneos bloqueados não podem ser eliminados até que o período de retenção termine. No entanto, se você decidir mais tarde marcar o ataque como um falso positivo, a cópia bloqueada será excluída.

Com o conhecimento dos arquivos afetados e o tempo de ataque, é possível recuperar seletivamente os arquivos afetados de vários snapshots, em vez de simplesmente reverter todo o volume para um dos snapshots.

Passos

  1. Inicie sessão utilizando uma das "experiências de console".

  2. Em armazenamento, selecione ir para inventário de armazenamento.

  3. Na visão geral do sistema de arquivos, selecione a guia volumes.

  4. Selecione Analyze attacks no bloco Autonomous ransomware Protection.

  5. Se um ataque tiver ocorrido, selecione Real Attack para o volume na tabela.

  6. Na caixa de diálogo Restaurar dados de volume comprometidos, siga as instruções para restaurar no nível do arquivo ou no nível do volume. Na maioria dos casos, você irá restaurar arquivos em vez de um volume inteiro.

  7. Depois de concluir a restauração, selecione Fechar.

Resultado

Os dados comprometidos foram restaurados.