Skip to main content
Data Infrastructure Insights
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

工作负载安全:模拟攻击

贡献者 netapp-alavoie
PDF

您可以按照此页面上的说明,使用随附的勒索软件模拟脚本来模拟攻击,以测试或演示工作负载安全性。

开始之前需要注意的事项

  • 勒索软件模拟脚本仅在 Linux 上运行。如果用户将ONTAP ARP 与 Workload Security 集成,模拟脚本还应生成高置信度警报。

  • 仅当ONTAP版本为 9.15 或更高版本时,工作负载安全才会检测使用 NFS 4.1 生成的事件和警报。

  • 该脚本随工作负载安全代理安装文件一起提供。它可以在安装了工作负载安全代理的任何机器上使用。

  • 您可以在工作负载安全代理机器本身上运行该脚本;无需准备另一台 Linux 机器。但是,如果您希望在另一个系统上运行该脚本,只需复制该脚本并在那里运行即可。

  • 用户可以根据自己的喜好和系统要求选择 Python 或 shell 脚本。

  • Python 脚本具有先决条件安装。如果不想使用python,就使用shell脚本。

指南:

该脚本应在包含大量需要加密的文件(理想情况下为 100 个或更多,包括子文件夹中的文件)的文件夹的 SVM 上执行。确保文件不为空。

要生成警报,请在创建测试数据之前暂时暂停收集器。一旦生成示例文件,恢复收集器并启动加密过程。

步骤:

准备系统:

首先,将目标卷安装到机器上。您可以挂载 NFS 或 CIFS 导出。

要在 Linux 中挂载 NFS 导出:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

请勿挂载 NFS 版本 4.1;Fpolicy 不支持它。

要在 Linux 中挂载 CIFS:

mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa

启用ONTAP Autonomous 勒索软件防护(可选):

如果您的ONTAP集群版本是 9.11.1 或更高版本,您可以通过在ONTAP命令控制台上执行以下命令来启用ONTAP勒索软件防护服务。

 security anti-ransomware volume enable -volume [volume_name] -vserver [svm_name]
接下来,设置数据收集器:

  1. 如果尚未完成,请配置工作负载安全代理。

  2. 如果尚未完成,请配置 SVM 数据收集器。

  3. 确保在配置数据收集器时选择了安装协议。

以编程方式生成示例文件:

在创建文件之前,您必须先停止或"暂停数据收集器"加工。

在运行模拟之前,您必须首先添加要加密的文件。您可以手动将要加密的文件复制到目标文件夹中,也可以使用其中的一个脚本以编程方式创建文件。无论使用哪种方法,请确保至少有 100 个文件需要加密。

如果您选择以编程方式创建文件,则可以使用 Shell 或 Python:

壳:

  1. 登录代理箱。

  2. 将 NFS 或 CIFS 共享从文件管理器的 SVM 挂载到代理计算机。转到该文件夹。

  3. 将脚本从代理安装目录(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/create_dataset.sh)复制到目标安装位置。

  4. 使用挂载目录(例如 /root/demo)中的脚本执行以下命令来创建测试数据集文件夹和文件:

     './create_dataset.sh'
. 这将在名为“test_dataset”的目录下的挂载文件夹内创建 100 个具有各种扩展名的非空文件。

Python:

Python 脚本先决条件:

  • 安装 Python(如果尚未安装)。

    • 从以下位置下载 Python 3.5.2 或更高版本 https://www.python.org/

    • 要检查 Python 安装,请运行 python --version

    • 该 Python 脚本已在最早 3.5.2 版本上进行测试。

  • 如果尚未安装 pip,请安装:

    • 从以下位置下载 get-pip.py 脚本 https://bootstrap.pypa.io/

    • 使用以下方式安装 pip python get-pip.py

    • 使用以下命令验证 pip 安装 pip --version

  • PyCryptodome 库:

    • 该脚本使用 PyCryptodome 库。

    • 使用以下方式安装 PyCryptodome pip install pycryptodome

    • 通过运行确认 PyCryptodome 安装 pip show pycryptodome

Python创建文件脚本:

  1. 登录代理箱。

  2. 将 NFS 或 CIFS 共享从文件管理器的 SVM 挂载到代理计算机。转到该文件夹。

  3. 将脚本从代理安装目录(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/create_dataset.py)复制到目标安装位置。

  4. 使用已安装目录(例如 /root/demo)中的脚本执行以下命令来创建测试数据集文件夹和文件:

     'python create_dataset.py'
. 这将在名为“test_dataset”的目录下的挂载文件夹中创建 100 个具有各种扩展名的非空文件

恢复收集器

如果您在执行这些步骤之前暂停了收集器,请确保在创建示例文件后恢复收集器。

以编程方式生成示例文件:

在创建文件之前,您必须先停止或"暂停数据收集器"加工。

要生成勒索软件警报,您可以执行包含的脚本,该脚本将在工作负载安全中模拟勒索软件警报。

壳:

  1. 将脚本从代理安装目录(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/shell/simulate_attack.sh)复制到目标安装位置。

  2. 使用挂载目录(例如 /root/demo)中的脚本执行以下命令来加密测试数据集:

     './simulate_attack.sh'
. 这将加密“test_dataset”目录下创建的示例文件。

Python:

  1. 将脚本从代理安装目录(%AGENT_INSTALL_DIR/agent/install/ransomware_simulation/python/simulate_attack.py)复制到目标安装位置。

  2. 请注意,python 先决条件是按照 Python 脚本先决条件部分安装的

  3. 使用挂载目录(例如 /root/demo)中的脚本执行以下命令来加密测试数据集:

     'python simulate_attack.py'
. 这将加密“test_dataset”目录下创建的示例文件。

在工作负载安全中生成警报

模拟器脚本执行完成后,几分钟内就会在 Web UI 上看到警报。

注意:如果满足以下所有条件,则会生成高置信度警报。

  1. 监控的 SVM 的ONTAP版本高于 9.11.1

  2. ONTAP自主勒索软件防护已配置

  3. 在集群模式下添加了工作负载安全数据收集器。

Workload Security 根据用户行为检测勒索软件模式,而ONTAP ARP 根据文件中的加密活动检测勒索软件活动。

如果满足条件,Workload Security 会将警报标记为高可信度警报。

警报列表页面上的高可信度警报示例:

高置信度警报示例,列表页

高可信度警报详细信息示例:

高置信度警报示例,详细信息页面

多次触发警报

Workload Security 会学习用户行为,并且不会对同一用户在 24 小时内重复遭受勒索软件攻击发出警报。

要使用不同的用户生成新的警报,请再次执行相同的步骤(创建测试数据,然后加密测试数据)。